REvil | Famosa gangue de ransomware está de volta com novas armas

Seis meses depois de interromper as atividades sob pressão de autoridades globais, a famosa gangue de ransomware REvil parece estar de volta. Os ataques associados à quadrilha voltaram a acontecer logo após o início dos conflitos entre a Rússia e a Ucrânia, com a reativação de sites e infraestruturas, mas apenas agora, com a análise do malware usado, a relação foi confirmada.

• "Nova" quadrilha de ransomware realiza mais de 12 ataques em duas semanas
• Custos de um ataque de ransomware pode ultrapassar sete vezes o valor do resgate

As amostras foram avaliadas por diferentes pesquisadores em segurança ouvidos pelo site Bleeping Computer, de empresas como Avast e Advanced Intel, entre outros. Elas seriam prova suficiente de que os novos operadores dos golpes têm acesso ao código fonte original do ransomware REvil — associados, que também seguiram atacando durante a interrupção das atividades do bando, usavam uma versão adaptada. A praga teria sido atualizada recentemente, no dia 26 de abril, e teria novas capacidades.

A ideia, na realidade, é de um recomeço. O malware conta com número de versão 1.0 e recursos de ataques direcionados, que podem travar, por exemplo, apenas os dados de dispositivos ligados a credenciais ou características específicas. Enquanto a versão analisada pelos especialistas ainda não parecia capaz de encriptar os arquivos, ela já exibia uma nota de resgate semelhante às mostradas pelo REvil nos ataques antigos, além de utilizar a nomenclatura original, Sodinokibi.

A aparição do novo ransomware também coincide com a aparição, ao longo das últimas semanas, de uma operação de ataques que ainda não estava nomeada, mas parecia usar as infraestruturas originais do grupo. Um redirecionamento foi adicionado aos endereços originais da quadrilha na dark web, e apesar de as páginas exibirem uma aparente desfiguração falando mal do REvil por algum tempo, elas apresentam similaridades de design e comportamento suficientes para traçar um paralelo.

REvil pode ter reiniciado operações com integrantes originais

A ideia geral dos especialistas é que membros antigos da quadrilha estariam envolvidos nessa nova operação. Isso também coincide com uma fala do Kremlin, informando que os EUA interromperam os diálogos sobre indiciamentos e extradição dos membros do REvil, presos em janeiro deste ano, após a invasão da Ucrânia pela Rússia. Desde então, não se sabe se os acusados seguem encarcerados ou se já recuperaram a liberdade.

Por outro lado, chama a atenção dos especialistas a informação, também de janeiro, de que as autoridades haviam assumido o controle da infraestrutura criminosa que, agora, parece ser usada para divulgar os ataques. Além disso, a própria abertura de nomes e sistemas de forma tão clara não condiz com as operações antigas do grupo, que apesar de notório, sempre tentou esconder a própria faceta pública.

Seja como for, com integrantes originais ou não, há um novo agente no mercado de ransomware. As pragas usadas tornaram o REvil tão popular pelo simples motivo de serem eficazes e perigosas, enquanto seus membros parecem altamente especializados em ataques contra grandes corporações e governos globais. Seja este um retorno, seja um esquema completamente inédito, a recomendação é de atenção e cautela.

Fonte: Bleeping Computer