Bando de ransomware estaria passando a perna nos próprios parceiros
Por Felipe Demartini | Editado por Claudio Yuge | 24 de Setembro de 2021 às 14h20
As suspeitas em torno do retorno do grupo criminoso REvil, uma das maiores quadrilhas de ransomware dos últimos anos, ganharam força depois que parceiros da organização afirmaram terem sido passado para trás. As acusações aparecem nos mesmos fóruns em que o bando vende seus serviços de sequestro digital e afirmam que seus responsáveis estariam realizando contatos paralelos com as vítimas, tentando ficar com o resgate e não pagar taxas aos responsáveis pelos ataques.
- Ransomware cai na América Latina, mas segue como principal ameaça
- Ataques de negação de serviço estão mais poderosos e crescem 11%
- Entre home office e modelos híbridos, investimento em segurança deve crescer 14%
Os relatos foram levantados pelos pesquisadores em segurança da Advanced Intel após a descoberta de uma porta de entrada no ransomware do REvil, que permitiria aos operadores do sistema destravarem os arquivos dos atingidos por ataques. Isso também permitiu os contatos diretos com as vítimas, passando a perna nos realizadores originais dos golpes como forma de evitar pagamentos de parte de seus ganhos aos parceiros.
A raíz da questão é o sistema de ransomware como serviço, no qual o REvil, assim como diversas outras quadrilhas, comercializa suas ferramentas de sequestro digital em vez de realizarem todos os ataques por conta própria. Isso permite que até mesmo criminosos menos sofisticados se envolvem no cibercrime, enquanto monetiza as ferramentas maliciosas ainda mais, com uma divisão dos ganhos de 70% para os mandantes e 30% para os desenvolvedores do sistema.
Entre os alvos preferenciais desse tipo de extorsão estariam clientes que desistiram das negociações com os atacantes originais, assim como os casos em que o pedido de resgate era alto demais para o caráter da organização atingida. Não se sabe, entretanto, que corporações foram alvo da prática nos últimos anos — entre os ataques mais conhecidos do REvil estão os travamentos de sistemas da fornecedora de software Kaseya e da processadora de alimentos brasileira JBS, ambos com resgates estimados em dezenas de milhões de dólares.
De acordo com a Advanced Intel, as acusações datariam desde 2020, antes mesmo do recente sumiço da quadrilha e das suspeitas de um possível fechamento após a ação de forças policiais. Enquanto os mistérios sobre isso continuam, os relatos também se encaixam com a descoberta, em julho, de uma ferramenta universal de desencriptação de arquivos, quer os operadores do REvil afirmaram terem postado por engano junto aos arquivos enviados a uma vítima que pagou o resgate.
Agora, a ideia é que essa “chave mestra” estaria sendo usada pelos criminosos para enganar seus afiliados — ela teria sido criada, originalmente, para garantir a “honestidade” dos negócios, liberando arquivos ou permitindo barganhas em caso de sumiço dos parceiros ou mau uso das ferramentas de ataque. Por outro lado, amostras recentes dos malwares usados pelo REvil não conteriam tais aberturas, uma ação que pode ser resultado da simples evolução da praga, da liberação acidental do código ou uma resposta às acusações dos parceiros.