In un noto forum dell’underground criminale un utente ha pubblicato l’evidenza di una backdoor all’interno del Ransomware REvil. La Backdoor permetterebbe agli sviluppatori del Ransomware di generare la chiavi di decifratura senza l’ausilio dell’affiliato che ha materialmente eseguito l’attacco.
Il RaaS REvil
REvil è un ransomware appartenente alla famiglia dei RaaS (Ransomware-as-a-Service), il cui utilizzo viene fornito, da parte degli operatori, a gruppi criminali dietro un sistema di affiliazione. L’affiliazione fornisce ai gruppi criminali la comodità di non dover sviluppare un malware (attività dispendiosa e non esente da problemi tecnici) e di avere pronti un software e una piattaforma che rispecchino le esigenze degli attaccanti. Gli sviluppatori chiedono in cambio un compenso derivante dal riscatto chiesto alle vittime.
La backdoor
Il codice identificato sembrerebbe permettere agli sviluppatori di REvil di poter decifrare i file delle vittime attraverso una Master Key in loro possesso, dalla quale verrebbero generate tutte le altre chiavi di cifratura.
L’utilizzo di tale backdoor permetterebbe al team di sviluppo del Ransomware di bypassare gli affiliati eludendo le negoziazioni con le vittime. Sembrerebbe che anche la gang DarkSide utilizzi lo stesso approccio nello sviluppo del proprio Ransowmare.