O REvil (ou Sodinokibi), um dos grupos de ransomware mais ativos e perigosos da atualidade, sumiu. Ou parece ter sumido: as várias páginas que a gangue mantinha na dark web deixaram de funcionar na terça-feira (13). Não está claro, porém, se o REvil decidiu encerrar as suas atividades ou se o desligamento de seus sites foi uma ação conduzida por autoridades.
- Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
- Microsoft visita casas no Brasil para trocar roteadores com malware Trickbot
Sites do REvil somem misteriosamente da dark web (imagem: PixaHive)
As duas possibilidades são plausíveis pelo mesmo motivo: o REvil está em evidência. O grupo tem atacado grandes empresas e, com isso, vem chamando a atenção de autoridades, especialmente dos Estados Unidos.
Por padrão, ransomwares são desenvolvidos com um único objetivo: criptografar dados do alvo e cobrar dele o pagamento de um resgate pela liberação de uma chave de descriptografia. É como um sequestro, mas digital.
Um exemplo notável é o caso da JBS, que foi atacada pelo REvil em maio de 2021 e, dias depois, reconheceu ter pago um resgate de US$ 11 milhões ao grupo.
Especialistas em segurança e autoridades recomendam, veementemente, que pagamentos de resgate nunca sejam feitos. O problema é que muitos ataques deixam a organização encurralada. As gangues até ameaçam divulgar dados sigilosos da vítima para aumentar a pressão pelo pagamento do resgate.
Essa abordagem é muito utilizada pelo REvil. Para provar que está de posse de dados sigilosos, o grupo costuma divulgar amostras de arquivos ou documentos da vítima em sites na dark web. Ou costumava: como você já sabe, essas páginas estão offline.
Além de divulgar amostras, o REvil utilizava as páginas para negociar resgates, reivindicar ataques ou, efetivamente, vazar dados. Mas, hoje, qualquer tentativa de acesso a esses sites falha. Pode acontecer de um ou outro ficar inacessível de vez em quando, mas todos ao mesmo tempo? A suspeita de fechamento intencional é forte.
Hipóteses para o fechamento dos sites
O jornal The New York Times levantou três possibilidades para o sumiço dos sites do REvil: operação conduzida por alguma agência americana, como o FBI; fechamento por ordem do presidente Vladimir Putin — supostamente, o REvil é de origem russa —; e encerramento por determinação do próprio grupo.
A primeira hipótese é baseada na preocupação do governo americano sobre a crescente atuação dos grupos de ransomware. O recente ataque do REvil à empresa de TI Kaseya, que afetou centenas de empresas, pode ter sido a gota d’água para as autoridades americanas.
Isso também explicaria uma reação do governo russo. É possível que a administração Putin tenha agido para rebater as queixas do presidente dos Estados Unidos de que a Rússia não colabora para mitigar ataques cibernéticos oriundos de seu território.
Em declaração recente, Joe Biden afirmou ter deixado claro a Putin que os Estados Unidos poderiam agir por conta própria se o governo russo não tomar providências quando ataques de ransomware forem conduzidos a partir de seu país.
Happy Blog, site do REvil usado para publicar amostras de ataques (imagem: Emerson Alecrim/Tecnoblog)
Por fim, a desativação da infraestrutura do REvil pode ter sido voluntária. Um representante de outro grupo, o LockBit, postou em fórum para hackers que o REvil apagou seus servidores por temer uma suposta ação do governo russo.
Uma decisão do tipo não seria inédita. Não é incomum grupos de ransomwares encerrarem suas atividades e se dispersarem após perceberem uma aproximação de autoridades. Foi o que aconteceu com outro grupo perigoso, o DarkSide.
Existe uma hipótese extra: a de que o REvil tenha simplesmente feito uma pausa para sair do centro das atenções.
REvil tem “afiliados”
Mesmo que o sumiço do REvil se confirme, não dá para manter um clima de “o perigo passou”. Esse e outros grupos seguem o modelo de Ransomware as a Service, ou seja, fornecem ransomwares para que hackers “afiliados” efetuem ataques em troca de pagamento de comissões.
Isso significa que o REvil pode surgir na forma de outros grupos, assim como seus afiliados podem recorrer a outros ransomwares. O próprio REvil teria surgido assim: aparentemente, o grupo foi formado após o fechamento da gangue GandCrab, em 2019.
Com informações: BleepingComputer.
Sites do grupo hacker REvil somem misteriosamente da dark web
0 Commentaires