Governos e instituições de cibersegurança alegam ter realizado uma ação de hacking multi-coordenada que resultou na derrubada do REvil — ou Ransomware Evil —, o grupo russo responsável por uma série de raptos de dados no mundo todo.
O grupo, responsável por sequestros de sistemas em empresas como Acer, Quanta (fornecedora da Apple), JBS — e até mesmo seus próprios clientes — foi derrubada por agentes de segurança e de ciber-inteligência, que se infiltraram nos servidores da gangue. A página de negociações dos criminosos, “Happy Blog”, também foi tirada do ar.
Segundo o chefe de segurança da VMWare e conselheiro de investigações cibercriminosas do Serviço Secreto dos Estados Unidos, Tom Kellermann, a ação também impediu que mais vítimas fossem roubadas pela gangue. Ele afirma à Reuters:
“O FBI, em conjunto com o Ciber Comando, o Serviço Secreto e outros países de objetivos similares, se engajaram de fato em ações significativamente disruptivas contra esses grupos. O REvil estava no topo da lista.”
A ação foi confirmada por uma das figuras associadas ao grupo, “O neday”, que ajudou a reiniciar as operações do grupo após uma derrubada anterior. “O servidor estava comprometido, e eles estavam procurando por mim”, afirma o cibercriminoso. “Boa sorte, pessoal; eu estou fora.”
Após derrubada, grupo de ransomware pede contra-ataque aos EUA
Em resposta à derrubada do grupo REvil, outra gangue de ransomwares russa, a Groove, publicou uma mensagem no seu site de vazamentos, traduzida pelo BleepingComputer. O discurso possui um tom vagamente militar e ainda pede para que as ações não mirem em empresas chinesas.
“Neste nosso tempo difícil e atribulado quando o governo dos Estados Unidos está tentando nos enfrentar, eu convoco a todos os parceiros para parar de competirmos, nos unirmos e começarmos a f**der com o setor público dos Estados Unidos, mostrar a esse velho quem é o chefe aqui e que sempre sera na Internet”, comenta a nota.
Os hackers também pedem para evitar ataques contra empresas chinesas, numa medida preventiva caso a Russia deixe de proteger as gangues. “Pois para onde nós nos mudamos se nossa nação-mãe se voltar contra nós, apenas para os nossos bons vizinhos — os Chineses!“
Para prender o grupo REvil, firmas usaram o feitiço contra o feiticeiro
Segundo o FBI, a derrubada do grupo REvil foi arquitetada após um dos ataques contra a empresa de softwares Kaseya. As forças de segurança descobriram uma chave criptográfica capaz de recuperar todos os arquivos infectados sem o pagamento de recompensas. No entanto, os agentes mantiveram a chave escondida.
Ao se reerguer da primeira investida, o cibercriminoso O neday usou os backups dos servidores do REvil, reinstaurando sistemas já comprometidos pelo FBI. Oleg Skulking, representante do laboratório forense da empresa de cibersegurança russa Group-IB, afirmou à Reuters:
“A gangue de ransomware REvil restaurou a infraestrutura a partir dos backups sob o pressuposto de que eles não foram comprometidos. Ironicamente, a tática favoita da gangue de comprometimento dos backups foi usada contra eles.”
Imagem: BeeBright/Shutterstock
Leia mais:
- Ferramenta gratuita pode descriptografar arquivos atacados por ransomware
- Segunda maior rede de TV dos EUA é tirada do ar após ataque de ransomware
- Autoridade de cibersegurança do Reino Unido: maioria dos ataques ransomware vem da Rússia
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: