Доплата за биткоин и чат-поддержка: аналитики узнали, как хакеры REvil взаимодействуют с жертвами

Доплата за биткоин и чат-поддержка: аналитики узнали, как хакеры REvil взаимодействуют с жертвами

Специалисты компании Elliptic опубликовали результаты нового исследования, демонстрирующего процесс общения хакерской группировки REvil с жертвой вымогательского ПО.

В качестве примера аналитики рассмотрели одну из атак REvil. После заражения компьютерной системы пострадавшая сторона получила требования о выкупе со ссылкой на так называемую страницу жертвы в сети Tor, где содержались последующие инструкции.

За дешифровку файлов хакеры потребовали $50 000 в Monero, в случае неуплаты выкупа в срок сумма удваивалась. На странице злоумышленники разместили информацию о том, где можно приобрести криптовалюту и на какой адрес отправить.

Жертва может обратиться к вымогателям через вкладку «Поддержка чата». В рассмотренном Elliptic случае пострадавшая сторона заявила, что требуемая сумма слишком велика. В ответ представитель REvil предложил скидку в 20%. В результате переговоров цену выкупа снизили до $25 000.

Также жертва попросила осуществить выплату в биткоине, а не в Monero. Представитель REvil сказал, что это возможно, но с доплатой в 10%.

«Это демонстрирует повышенный риск, с которым сталкивается REvil при приеме платежей в биткоине из-за его отслеживаемости», — отметили в Elliptic.

После выплаты выкупа страница жертвы обновляется, отображая доступ к дешифратору. В Elliptic подчеркнули, что нет гарантии получить от злоумышленников такой инструмент даже после получения хакерами платежа.

В дальнейшем REvil разделяют полученные монеты и отправляют их на множество разных кошельков, а также смешивают их с биткоинами из других источников для отмывания средств. Впоследствии их выводят через биржи и даркнет-рынок.

Исследователи отметили, что передают информацию правоохранителям, биржам и финансовым учреждениям для идентификации криптовалют и кошельков, связанных с киберпреступниками, для предотвращения возможности обналичить деньги.

Напомним, в июле хакеры REvil взломали тысячи компаний в результате атаки на американского разработчика ПО Kaseya и потребовали выкуп в размере $70 млн в биткоинах. В ночь на 13 июля даркнет-сайты группировки внезапно ушли в офлайн.

Source