Ataque de ransomware que afetou 20 países traz código que evita alvos na Rússia
Por Felipe Gugelmin | Editado por Claudio Yuge | 07 de Julho de 2021 às 22h20
Capítulo mais recente dos ataques de ransomware que estão marcando 2021, a ação contra a Kaseya mostra como os criminosos do REvil estão evitando intencionalmente prejudicar alvos na Rússia. Segundo um relato da Trustwave SpiderLabs, o malware é configurado de forma a não afetar sistemas que usam como linguagem principal o russo ou idiomas relacionados.
- UE investe milhões em sistema que quebra criptografias usadas por criminosos
- Partido Republicano dos EUA acusa grupo russo por ataque ransomware na nuvem
- Grande ataque ransomware atinge hospitais, supermercados e empresas em 20 países
“Eles não querem perturbar as autoridades locais, e eles sabem que vão conseguir exercer seus negócios por muito mais tempo se fizerem isso dessa maneira”, afirmou à NBC News Ziv Mador, vice-presidente de pesquisa em segurança da Trustwave SpiderLabs. Já considerado como o maior ataque do tipo da história, a paralisação dos sistemas da Kaseya afetou centenas de organizações ao redor do mundo, e muitas delas devem levar semanas para começar a se recuperar.
Segundo o pesquisador Marcus Hutchins (identificado publicamente como @MalwareTechBlog no Twitter), esse não é um comportamento seguido somente pelo REvil. De acordo com ele, é comum que códigos de malwares chequem pacotes de linguagem e teclados CIS e a geolocalização de suas vítimas antes de continuar suas ações.
“Contanto que os atacantes se esforcem para não afetar usuários ou companhias russas, é improvável que eles sejam presos”, afirmou Hutchins. “Não tenho realmente certeza porque o artigo cita uma companhia de segurança afirmando que foram os primeiros a identificar isso, dado que essa é uma característica bem conhecida e falar do REvil desde que o ransomware foi descoberto pela primeira vez”, comenta ele sobre o artigo da NBC News.
Agências de segurança nos Estados Unidos e no Reino Unido acusam a Rússia de financiar e dar asilo a grupos como o REvil, CozyBear e DarkSide (entre outros), envolvidos em ações que afetam diversas empresas e organizações governamentais. O Kremlin costuma negar a participação em casos do tipo, afirmando que nenhum deles possui conexões oficiais com Moscou.
Fonte: NBC News, MalwareTechBlog/Twitter