Onderhandeling tussen slachtoffer en cybercriminelen van REvil

Gepubliceerd op 8 juli 2021 om 07:00

Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers.

Onderhandeling

Dit was het geval bij een bedrijf dat actief is op het gebied van informatietechnologie en dat met REvil een prijs is overeengekomen voor de sleutel om de versleutelde bestanden te ontsleutelen.

De naam van het bedrijf dat is getroffen door de 'Kaseya-hack' zullen we niet onthullen. Wel laten we de chat communicatie zien tussen het slachtoffer en de REvil cybercriminelen om te (leren) begrijpen hoe een dergelijke interactie verloopt.

Uit de verzamelde gegevens blijkt dat de persoon die de berichten fysiek in de chat heeft geschreven geen onderhandelaar is, maar vermoedelijk een medewerker van het bedrijf dat wordt ondersteund door de IT-afdeling.

De chat wordt geopend met het eerste bericht van het slachtoffer, waarin REvil wordt gevraagd hoe de decodering van de bestanden verloopt. De ransomware-groep antwoordt dat er geen ontsleuteling heeft plaatsgevonden, omdat het losgeld niet is betaald of omdat het slachtoffer verbinding heeft gemaakt met twee verschillende losgeldbriefjes, dus met twee verschillende chats.

Het slachtoffer schrijft aan REvil dat het eerste chatvenster was gesloten en vraagt ​​of hij kan chatten met dezelfde persoon met wie hij aanvankelijk aan het chatten was, eraan toevoegend dat de pers wist dat de cyberaanval ook hun bedrijf had getroffen. REvil antwoordt om de eerste chat te heropenen en wijst erop dat in deze chat niemand voor de decryptor had betaald. 

De chat tussen slachtoffer en REvil cybercriminelen

Slachtoffer : Hallo, hoe gaat het met onze decodering?

REvil: Welke? Je hebt niet betaald voor de decryptor, of je hebt de chat gewijzigd

S: Het chatvenster is gesloten. Was jij het met wie ik eerder sprak?

S: De pers heeft onze hack opgepikt en u zei dat ze er niets over zouden horen

R: Dus open het opnieuw, in deze chat heeft niemand betaald voor de decryptor

Het slachtoffer voegt toe:

S: We werken samen met ons interne team om te zien of de cyberbeveiligingsverzekering van Kaseya dit dekt. Dit is de reden waarom ik denk dat de pers ontdekte dat we het slachtoffer waren

Op dit punt vraagt ​​REvil naar de naam van zijn bedrijf

R: Naam van uw bedrijf?
S: ***** , ik dacht dat je dit wist ? Ik moet met iemand anders hebben gepraat

Op dit punt tussen de twee begint de onderhandelingen over de prijs van het te betalen losgeld. Opgemerkt moet worden dat de prijs die door REvil werd vastgesteld gelijk was aan $ 44.999, een prijs die blijkbaar betrekking had op slechts één van de extensies van de versleutelde bestanden. Het aanvankelijke bedrag dat door de cybercrimineel werd gevraagd, om de volledige IT te ontsleutelen, was $ 550.000. Tijdens de onderhandelingen werd de prijs vervolgens vastgesteld op $ 225.000 in BTC.

R: 550k voor alle netwerken
S: Dit is teveel waar is dit op gebaseerd?
R: Over inkomsten, veroorzaakte schade en inkomsten van het bedrijf
S: U heeft geen toegang tot onze inkomsten of inkomsten. We hebben door covid heen geworsteld. Dat is meer dan we dit jaar verdienen. Daarom hopen we dat de Kaseya-verzekering ons dekt, maar dat we moeten wachten tot ze zouden betalen. En als we niet kunnen functioneren, kan er niets gebeuren met geld
R: We hebben u ons aanbod gedaan en of u wel of niet betaalt, is alleen uw zaak.

Het slachtoffer vraagt ​​REvil om bevestiging van het verkrijgen van beide decoderingssleutels en de belofte om niet opnieuw het slachtoffer te worden van hun aanvallen, als ze betalen. REvil bevestigt door ook de BTC-adressen te verstrekken waarnaar het geld moet worden verzonden.

S: Mijn IT-team heeft gevraagd om de decoderingssleutel en maakt zich zorgen dat we, aangezien we 2 verschillende notities hebben, 2 verschillende sleutels nodig hebben. Kunt u dit bevestigen ?
R: Natuurlijk zal Wi zorgen voor decryptor voor al je sleutels
S: We hebben onze Kaseya-implementatie niet kunnen patchen en moeten enkele belangrijke systemen werkend krijgen. Kunt u bevestigen dat u ons niet opnieuw zult aanvallen?
R: Natuurlijk
S: We kunnen vandaag $ 75k sturen en zullen de komende 2 dagen $ 150k sturen. Geef de btc-adressen op
R: 3Md*****

3FE*****

3My*****

Op het moment van schrijven heeft geen van de drie BTC-adressen geld gestort of opgenomen.
Let op: niet alle chats zijn gemeld, sommige details die terug te voeren zijn op de naam van het slachtoffer zijn weggelaten of helemaal niet ingevuld.

Garantie tot aan de deur

Ontsleuteling

Een belangrijk punt is dat bij onderhandeling met criminelen nooit zekerheid is. We kunnen bevestigen dat het slachtoffer vaak, zelfs nadat het losgeld is betaald, niet langer in staat is om zijn gegevens terug te krijgen. Het betalen van losgeld staat niet gelijk aan de absolute zekerheid om de IT-structuur terug te krijgen zoals het was voorafgaand aan de cyberaanval.

Privacy

Een ander fundamenteel punt dat de moeite waard is om bij stil te staan, is de bescherming van je naam. Je privacy.
In dit artikel hebben we kunnen aantonen dat geen enkele groep cybercriminelen de privacy van hun slachtoffers beschermt. We lezen vaak zinnen in chats waarin de dienstdoende crimineel het slachtoffer geruststelt met zinnen als deze:

"Als je betaalt, wordt je bedrijfsnaam nooit gepubliceerd, je privacy is gegarandeerd. Al uw gegevens worden verwijderd"

We kunnen je verzekeren dat er na maanden nadat betalingen zijn gedaan, in tientallen en tientallen chats die nu nog steeds toegankelijk zijn, er gegevens en documenten zijn die de naam van het slachtoffer zonder enige moeite kunnen traceren.

Bestanden

Na de codering van een IT-systeem geeft de cybercrimineel enkele bestanden vrij op de pc's van het slachtoffer, ook wel "betaalnota's" genoemd. In deze bestanden vinden we een .onion-URL en een sleutel waarmee slachtoffers toegang hebben tot de chats.

Oorspronkelijk zijn deze bestanden in handen van slechts twee subjecten: de cybercrimineel en het slachtoffer. 
Maar hoe komen deze bestanden dan terecht op de analyse sites zoals Bazaar, Triage, Virutotal…? Wie voert de uploads uit?

We kunnen niet geloven dat het een medewerker van het slachtofferbedrijf zou kunnen zijn, bijvoorbeeld van de IT-afdeling. Net zoals we niet kunnen geloven dat een onderhandelaar of een lid van de politie zich achter deze uploads kan "verstoppen".
Dus wie zou de persoon kunnen zijn die van dit alles alleen maar moet profiteren qua zichtbaarheid?

We geloven dat monsters worden geüpload naar de sites die gespecialiseerd zijn in analyse door de cybercriminelen zelf, direct of indirect.

Laatste overweging over de zaak Kaseya

Het doet je glimlachen (een 'bitter lachje') als je leest wat Kaseya over zichzelf zegt op deze pagina https://www.kaseya.com/products/managed-soc/. Weest allen voorzichtig.

Bron: anoniem

Tips of verdachte activiteiten gezien? Meld het hier.

Ransomware gerelateerde berichten

Ransomware jaaroverzicht 2021

Ransomware zorgde in 2021 voor lege kaasschappen, naar huis gestuurd personeel en grote hoeveelheden gestolen persoonsgegevens. Ook in 2021 werden Nederlandse bedrijven, onderwijsinstellingen en andere organisaties geregeld het slachtoffer van ransomware. Een terugblik op een jaar vol ransomware-aanvallen. Daarnaast nemen we de grootste ransomware-aanvallen in het buitenland onder de loep, alsmede gebruikte aanvalsmethodes en reacties op de dreiging van ransomware.

Lees meer »

Toename in agressiviteit en brutaliteit van ransomware cybercriminelen

Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.

Lees meer »

"Yeah baby" take down door politie diensten

De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.

Lees meer »

Ransomware: Laag risico hoge beloning

Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.

Lees meer »