Gangues de ransomware que usam códigos e serviços do REvil reclamam que estão sendo roubadas pelo sofisticado grupo que opera na Rússia (e que foi responsável pelo ataque feito à JBS no semestre passado). Sem que elas saibam, os líderes do REvil (abreviação de Ransomware Evil, “Mal do Ransonware”) estariam assumindo as negociações dos chats de resgate e tomando para si o pagamento feito pelas vítimas, deixando as filiadas de mãos vazias.

Ladrão que rouba ladrão

Segundo posts feitos em fóruns clandestinos onde esses cibercriminosos se reúnem na dark web, o REvil faz uso de uma backdoor (uma porta oculta de comunicação) escondida nos códigos que aluga para as gangues. Por meio desse caminho, o grupo consegue restaurar os arquivos criptografados da vítima, sem o envolvimento do afiliado.

publicidade

Assim, o REvil estaria abrindo chats de, digamos, “suporte ao cliente”, em paralelo com aqueles iniciados pelas gangues. O grupo russo estaria interrompendo as conversas de negociação iniciais enquanto continuava negociando sozinho, a fim de receber todas as partes do pagamento sem compartilhar com as gangues.

Normalmente, os afiliados do REvil podem coletar até 70% do pagamento de resgate, enquanto o grupo russo que aluga o ransomware coleta o restante. Historicamente, é assim que o REvil tem operado, com as operações sendo feitas em Bitcoin.

Leia mais:

Gangues de ransomware: confiar no REvil é uma roubada

Em um fórum, um dos usuários disse que suas suspeitas das táticas do REvil surgiram após ele extorquir US$ 7 milhões de uma vítima e ver suas negociações encerradas de forma repentina. Ele acredita que um dos líderes do grupo russo assumiu as negociações e fugiu com o dinheiro.

Outro usuário do fórum reclamou que estava cansado de “não poder confiar” no REvil, apesar de deixar subentendido que o ransomware é um dos esquemas mais lucrativos. Segundo as impressões, não há muito o que as gangues podem fazer se forem roubadas, e o grupo russo continuará a ser muito procurado pelos cibercriminosos.

O REvil reapareceu no mês passado, após um breve hiato, que pode ter sido um “período de relaxamento”, de acordo com Adam Meyers, vice-presidente de inteligência da empresa de segurança cibernética CrowdStrike. “Houve muito calor em junho/julho. Talvez eles tenham reconstruído alguma infraestrutura e investido em melhor segurança operacional”. Para termos uma ideia do quanto têm rendido os ataques do REvil, só no caso JBS, a empresa brasileira pagou mais de R$ 55 milhões de resgate.

Em outros casos recentes, o REvil assumiu o crédito por hackear o fornecedor de hardware taiwanês Quanta Computer Inc. e, no processo, publicou projetos secretos para novos dispositivos Apple. No ano passado, o grupo executou um ataque de ransomware contra um escritório de advocacia que alegou representar algumas das empresas de televisão de Donald Trump.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.