0
0
Gangues de ransomware que usam códigos e serviços do REvil reclamam que estão sendo roubadas pelo sofisticado grupo que opera na Rússia (e que foi responsável pelo ataque feito à JBS no semestre passado). Sem que elas saibam, os líderes do REvil (abreviação de Ransomware Evil, “Mal do Ransonware”) estariam assumindo as negociações dos chats de resgate e tomando para si o pagamento feito pelas vítimas, deixando as filiadas de mãos vazias.
Ladrão que rouba ladrão
Segundo posts feitos em fóruns clandestinos onde esses cibercriminosos se reúnem na dark web, o REvil faz uso de uma backdoor (uma porta oculta de comunicação) escondida nos códigos que aluga para as gangues. Por meio desse caminho, o grupo consegue restaurar os arquivos criptografados da vítima, sem o envolvimento do afiliado.
Assim, o REvil estaria abrindo chats de, digamos, “suporte ao cliente”, em paralelo com aqueles iniciados pelas gangues. O grupo russo estaria interrompendo as conversas de negociação iniciais enquanto continuava negociando sozinho, a fim de receber todas as partes do pagamento sem compartilhar com as gangues.
Normalmente, os afiliados do REvil podem coletar até 70% do pagamento de resgate, enquanto o grupo russo que aluga o ransomware coleta o restante. Historicamente, é assim que o REvil tem operado, com as operações sendo feitas em Bitcoin.
Gangues de ransomware: confiar no REvil é uma roubada
Em um fórum, um dos usuários disse que suas suspeitas das táticas do REvil surgiram após ele extorquir US$ 7 milhões de uma vítima e ver suas negociações encerradas de forma repentina. Ele acredita que um dos líderes do grupo russo assumiu as negociações e fugiu com o dinheiro.
Outro usuário do fórum reclamou que estava cansado de “não poder confiar” no REvil, apesar de deixar subentendido que o ransomware é um dos esquemas mais lucrativos. Segundo as impressões, não há muito o que as gangues podem fazer se forem roubadas, e o grupo russo continuará a ser muito procurado pelos cibercriminosos.
O REvil reapareceu no mês passado, após um breve hiato, que pode ter sido um “período de relaxamento”, de acordo com Adam Meyers, vice-presidente de inteligência da empresa de segurança cibernética CrowdStrike. “Houve muito calor em junho/julho. Talvez eles tenham reconstruído alguma infraestrutura e investido em melhor segurança operacional”. Para termos uma ideia do quanto têm rendido os ataques do REvil, só no caso JBS, a empresa brasileira pagou mais de R$ 55 milhões de resgate.
Em outros casos recentes, o REvil assumiu o crédito por hackear o fornecedor de hardware taiwanês Quanta Computer Inc. e, no processo, publicou projetos secretos para novos dispositivos Apple. No ano passado, o grupo executou um ataque de ransomware contra um escritório de advocacia que alegou representar algumas das empresas de televisão de Donald Trump.
FONTE: OLHAR DIGITAL