Após sumiço, cibercriminosos do REvil podem estar voltando com outro nome

Após sumiço, cibercriminosos do REvil podem estar voltando com outro nome

Por Felipe Demartini | Editado por Jones Oliveira | 28 de Julho de 2021 às 16h10
Tom Abel & Ralf Kaehler (KIPAC, SLAC), AMNH

O inesperado sumiço do grupo cibercriminoso REvil pode ter sido, na realidade, apenas uma tática de despiste. Especialistas em segurança digital apontam para o surgimento de um novo grupo, chamado BlackMatter, que está de olho em redes corporativas comprometidas de quatro países e teria fundos amplos para realizar ataques, bem como postura e atuação semelhante ao do bando em atuação desde 2020.

O BlackMatter surgiu nesta semana em fóruns dedicados ao cibercrime, apresentando uma conta com cerca de US$ 150 mil em bitcoins e interessado em adquirir acesso a redes comprometidas de empresas nos EUA, Reino Unido, Austrália e Canadá. Não existe nenhuma indicação sobre a profundidade no acesso, mas os responsáveis afirmam não estarem atrás de contas relacionadas a instituições governamentais, companhias de infraestrutura, ONGs ou do setor de saúde.

Os especialistas da empresa de inteligência de riscos Flashpoint foram os primeiros a apontarem as similaridades entre o BlackMatter e o REvil. Além das restrições e dos fundos que podem indicar um financiamento governamental ou oriundo de operações anteriores, há a busca preferencial por corporações com valor acima de US$ 100 milhões, de olho em resgates poupudos após ataques de ransomware, e um possível foco em falhas conhecidas nos softwares de empresas como Fire Eye e Kaseya.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Os peritos apontam, ainda, que muitos registros e pastas criptografadas do grupo REvil usavam Black Lives Matter como título, indicando que a corruptela pode ser uma tentativa de firmar presença, mas, ao mesmo tempo, buscar a discrição. O BlackMatter não afirma ser uma gangue voltada a ataques de ransomware, mas a busca por alvos e suas intenções indicam que essa é a finalidade dela — eles ainda oferecem descriptografação gratuita para empresas em sua lista de categorias proibidas que, eventualmente, tenham sido atacadas por outros grupos cibercriminosos.

Site voltado à extorsão das vítimas do grupo BlackMatter ainda está vazio, mas já cita alguns segmentos que não são atacados, bem como meios de contato para negociação de resgates (Imagem: Reprodução/Recorded Future)

O desaparecimento do REvil foi reportado em meados deste mês de julho, depois que os sites e plataformas gerenciados pela gangue de ransomware foram retirados do ar repentinamente. Perfis em fóruns também deixaram de ser utilizados ou foram banidos por alguns administradores, uma medida tomada por eles, normalmente, quando seus operadores estão na mira das autoridades.

Entre servidores desligados e páginas apagadas, começaram a surgir as especulações de que o REvil estaria sendo alvo de operações policiais após os ataques de grande magnitude realizados nas semanas anteriores. Foram eles os responsáveis pela brecha na fornecedora de software Kaseya, um dos maiores golpes à cadeia de produção da história da tecnologia, e também do ransomware que atingiu a processadora de alimentos JBS.

Os casos chegaram até mesmo à mesa do presidente estadunidense Joe Biden, que prometeu ações diretas e que ia passar a tratar os ataques digitais contra empresas de infraestrutura como terrorismo. Nada, entretanto, foi dito sobre o sumiço do REvil, nem seu retorno como BlackMatter foi confirmado — as similaridades, porém, já são suficientes para que o bando seja posicionado como uma ameaça a ser considerada e, agora, observada de perto pelos especialistas.

Fonte: Flashpoint

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.