REvil | Gangue de ransomware volta à ativa e fala em erro na liberação de chaves

A novela do retorno da quadrilha de sequestro digital REvil continua, com mais uma empresa especializada em segurança tendo razões para acreditar que a velha operação, que vitimou a empresa brasileira JBS, entre tantos outros alvos de grande porte, está de volta. Agora, foi a vez de um suposto porta-voz do grupo falar em um fórum voltado ao cibercrime e explicar, em partes, o que está acontecendo e qual a situação atual do grupo.

• Criminosos que atacaram JBS podem estar voltando à ativa
• Brecha no Microsoft Office pode ser mais perigosa do que parecia
• Duas em cada três empresas não confiam em recuperação após sequestro digital

De acordo com um relato encontrado por pesquisadores em cibersegurança da Flashpoint, os servidores e sistemas de ransomware como serviço do REvil foram restabelecidos de backups mantidos originalmente pelos criminosos. O representante não citou uma possível ação das autoridades — motivo pelo qual, se acreditava, o grupo havia desaparecido originalmente —, mas disse que os trabalhos estão sendo retomados aos poucos, enquanto contatos com velhos e novos clientes vão sendo feitos como forma de recuperar a confiança e a reputação do bando.

Um caso em específico é citado pela Flashpoint, com outro membro do fórum abrindo denúncia contra o REvil por pagamentos devidos, relacionados a um ataque de sequestro digital não-identificado. A questão foi marcada como resolvida pelos administradores do espaço, indicando que o grupo realizou o acerto e deve seguir adiante com suas atividades, ainda que novos alvos ou operações ainda não estejam sendo citados diretamente.

O mistério das chaves

Outra questão que indicava uma possível ação das autoridades foi o surgimento de uma ferramenta “mestra”, que permitia a liberação de arquivos criptografados pelo ransomware do REvil. Foi um erro, de acordo com o representante da quadrilha, com um de seus membros gerando uma chave universal que foi enviada a uma vítima que pagou o resgate, em meio ao que era necessário para que ela liberasse seus dados de maneira específica.

A aparição do desbloqueio “mestre” aconteceu dias antes do desaparecimento total do grupo e coincidiu, também, com as bravatas e o aquecimento da luta do governo dos Estados Unidos contra o cibercrime. Após os casos envolvendo a distribuidora de petróleo Colonial Pipeline, empresas de software como a Kaseya e a própria JBS, o presidente Joe Biden disse que passaria a tratar os casos de sequestro digital como terrorismo, também levando a questão a conversas com o líder russo Vladimir Putin, a quem acusa de dar guarida a bandidos digitais.

O alerta da Flashpoint, também, serve como foco de atenção, já que o retorno de uma gangue de sequestro digital conhecida por ataques devastadores nunca é uma boa notícia. A tendência é que o REvil se junte a outros nomes do ramo na cada vez mais crescente escalada desse tipo de crime, com as preocupações com segurança sendo, também, uma preocupação em ampliação para as empresas.

Fonte: Flashpoint Intel, TechRadar