L’univers de la cybercriminalité est impitoyable et celui des ransomwares encore plus. En effet, le gang derrière Revil (aka Sodinokibi) a peut-être détourné des rançons, en excluant les affiliés du paiement. Pour cela, le groupe utilisait un canal de chat secondaire pour discuter directement avec les victimes et ainsi récupérer la rançon au nez et à la barbe des affiliés. Pour mémoire, Revil est apparu au premier semestre 2019 et fonctionne en mode RaaS (ransomware as a service). Des personnes créent le rançongiciel et l’infrastructure, puis des affiliés sont recrutés pour mener les attaques. Les revenus sont partagés entre les différentes parties intervenantes, en sachant que les affiliés récupèrent la plus grande part (généralement de 70 à 80%).

Flouer par un chat secret

Un système bien rôdé, mais qui au fil du temps a vu le groupe escroquer les affiliés en ne reversant pas la part promise des 70% de la rançon versée par les victimes. Yelisey Boguslavskiy, responsable de la recherche chez Advanced Intel, interrogé par nos confrères de Bleepingcomputer, observe que depuis 2020 des messages sur les forums underground affirment que les opérateurs de RaaS négocier avec les victimes dans des tchats secrets à l’insu des affiliés.

Selon le responsable, les administrateurs de Revil avaient ouvert un deuxième tchat, identique à celui utilisé par leur affilié pour négocier en direct avec la victime. Quand les discussions atteignaient un point critique, Revil prenait le relais auprès de l’affilié en se faisant passer pour la victime qui abandonnait les négociations sans payer la rançon. Le gang poursuivait alors la discussion avec la victime et récupérer la somme négociée. Cette technique a été confirmée avec la découverte par un expert en rétro-ingénierie d’une « crypto backdoor » dans l’analyse des échantillons de Revil.  A noter que Bitdefender a publié récemment un outil de décryptage universel du ransomware Revil pour les victimes avant le 13 juillet 2021.