0
0
Nesta semana, um dos grupos de ransomware mais perigosos dos últimos tempos deixou de ser uma ameaça. Uma operação liderada pelo FBI e realizada por autoridades de vários países fez a gangue REvil ser desmantelada. Como? Ironicamente, os servidores do grupo foram hackeados.
A informação vem da Reuters, que ouviu especialistas que acompanham a operação de perto. Entre eles está Tom Kellermann, chefe segurança cibernética da VMWare e assessor do Serviço Secreto dos Estados Unidos.
Como o REvil foi derrubado
Para entender como essa coalizão, por assim dizer, conseguiu tirar o REvil de cena, precisamos voltar ao mês de julho, quando o grupo executou um dos maiores ataques de ransomware de que se tem notícia.
Na ocasião, o REvil conseguiu infectar um software da empresa de TI Kaseya. Esse software foi distribuído posteriormente como uma atualização para os clientes da companhia. Resultado: centenas ou, talvez, milhares de organizações tiveram sistemas comprometidos pelo ransomware.
O FBI agiu rápido e conseguiu obter uma chave capaz de descriptografar todos os sistemas afetados. Mas essa chave não foi enviada às vítimas prontamente. O FBI a reteve durante algumas semanas e usou esse período para, silenciosamente, rastrear o REvil.
Com essa ação, autoridades policiais e especialistas em segurança puderam hackear alguns dos servidores do grupo. Provavelmente, isso explica o fato de, dias após o ataque à Kaseya, o REvil ter sumido da dark web. Tudo indica que o grupo decidiu “tirar férias” após ter a sua infraestrutura comprometida.
Quando isso aconteceu, o principal porta-voz do grupo, um membro que se identificava como Unknown (Desconhecido), também deixou de agir. Coube a um membro que se identifica como 0_neday, com apoio de outros integrantes, restaurar um backup que fez os sites do REvil voltarem a funcionar, em setembro.
O que 0_neday não sabia é que esse backup também havia sido comprometido pelas autoridades. Assim, quando os sistemas do REvil foram restaurados, os policiais puderam monitorar o grupo novamente.
Ao perceber o que aconteceu, 0_neday postou uma mensagem em um fórum hackerdizendo que “o servidor foi comprometido e eles estavam procurando por mim”. O aviso foi encerrado com a frase “boa sorte a todos, eu estou fora”.
A Casa Branca e o FBI não comentaram o assunto, mas uma fonte anônima relatou à Reuters que a operação ainda está em andamento. É provável que as autoridades ainda estejam tentando identificar e deter membros do grupo.
De todo modo, a ação já surtiu efeito. O grupo está inoperante. As páginas do REvil na dark web ficaram inacessíveis novamente, entre elas, o Happy Blog, que o grupo usava para divulgar amostras de dados das vítimas.
Os estragos causados pelo REvil
O REvil sai de cena deixando para trás uma onda de estragos. O grupo foi responsável por grandes ataques em 2021, em várias partes do mundo. Os mais notáveis são estes:
- Quanta Computer: parceira de produção da Apple, a empresa teve esquemas de design de MacBooks Pro roubados pelo grupo;
- Colonial Pipeline: responsável por fornecer combustíveis na costa leste dos Estados Unidos, a empresa pagou US$ 5 milhões como resgate ao REvil para restaurar as suas operações; o ataque causou escassez de gás na região;
- JBS: o grupo brasileiro de alimentos teve as suas operações paralisadas na Austrália, Canadá e Estados Unidos; para restaurar seus sistemas, a companhia pagou um resgate de US$ 11 milhões ao REvil;
- Kaseya: o REvil infectou uma atualização do sistema Kaseya VSA, que posteriormente foi distribuída a clientes. Centenas ou milhares de empresas foram infectadas na sequência.
FONTE: TECNOBLOG