Publicidade

Após sumiço, cibercriminosos do REvil podem estar voltando com outro nome

Por| Editado por Jones Oliveira | 28 de Julho de 2021 às 16h10

Link copiado!

Tom Abel & Ralf Kaehler (KIPAC, SLAC), AMNH
Tom Abel & Ralf Kaehler (KIPAC, SLAC), AMNH

O inesperado sumiço do grupo cibercriminoso REvil pode ter sido, na realidade, apenas uma tática de despiste. Especialistas em segurança digital apontam para o surgimento de um novo grupo, chamado BlackMatter, que está de olho em redes corporativas comprometidas de quatro países e teria fundos amplos para realizar ataques, bem como postura e atuação semelhante ao do bando em atuação desde 2020.

O BlackMatter surgiu nesta semana em fóruns dedicados ao cibercrime, apresentando uma conta com cerca de US$ 150 mil em bitcoins e interessado em adquirir acesso a redes comprometidas de empresas nos EUA, Reino Unido, Austrália e Canadá. Não existe nenhuma indicação sobre a profundidade no acesso, mas os responsáveis afirmam não estarem atrás de contas relacionadas a instituições governamentais, companhias de infraestrutura, ONGs ou do setor de saúde.

Os especialistas da empresa de inteligência de riscos Flashpoint foram os primeiros a apontarem as similaridades entre o BlackMatter e o REvil. Além das restrições e dos fundos que podem indicar um financiamento governamental ou oriundo de operações anteriores, há a busca preferencial por corporações com valor acima de US$ 100 milhões, de olho em resgates poupudos após ataques de ransomware, e um possível foco em falhas conhecidas nos softwares de empresas como Fire Eye e Kaseya.

Continua após a publicidade

Os peritos apontam, ainda, que muitos registros e pastas criptografadas do grupo REvil usavam Black Lives Matter como título, indicando que a corruptela pode ser uma tentativa de firmar presença, mas, ao mesmo tempo, buscar a discrição. O BlackMatter não afirma ser uma gangue voltada a ataques de ransomware, mas a busca por alvos e suas intenções indicam que essa é a finalidade dela — eles ainda oferecem descriptografação gratuita para empresas em sua lista de categorias proibidas que, eventualmente, tenham sido atacadas por outros grupos cibercriminosos.

O desaparecimento do REvil foi reportado em meados deste mês de julho, depois que os sites e plataformas gerenciados pela gangue de ransomware foram retirados do ar repentinamente. Perfis em fóruns também deixaram de ser utilizados ou foram banidos por alguns administradores, uma medida tomada por eles, normalmente, quando seus operadores estão na mira das autoridades.

Entre servidores desligados e páginas apagadas, começaram a surgir as especulações de que o REvil estaria sendo alvo de operações policiais após os ataques de grande magnitude realizados nas semanas anteriores. Foram eles os responsáveis pela brecha na fornecedora de software Kaseya, um dos maiores golpes à cadeia de produção da história da tecnologia, e também do ransomware que atingiu a processadora de alimentos JBS.

Continua após a publicidade

Os casos chegaram até mesmo à mesa do presidente estadunidense Joe Biden, que prometeu ações diretas e que ia passar a tratar os ataques digitais contra empresas de infraestrutura como terrorismo. Nada, entretanto, foi dito sobre o sumiço do REvil, nem seu retorno como BlackMatter foi confirmado — as similaridades, porém, já são suficientes para que o bando seja posicionado como uma ameaça a ser considerada e, agora, observada de perto pelos especialistas.

Fonte: Flashpoint