A notória gangue de ransomware de língua russa, REvil, desapareceu misteriosamente da internet depois de executar ataques de alto perfil em centenas de empresas em todo o mundo.
Ainda não está claro por que o grupo ficou offline, junto com seu blog e sites de pagamento. Mas seu súbito desaparecimento poucos dias após a declaração do presidente Biden levanta questões sobre se as autoridades americanas tiveram algo a ver com isso.
Quem é REvil?
REvil (Ransomware Evil ou também conhecido como Sobinokibi) é uma gangue de língua russa. Eles têm como alvo milhares de empresas de alto perfil em todo o mundo. Eles ameaçariam divulgar as informações em seu Happy Blog, a menos que os alvos pagassem o resgate.
Ninguém conseguiu identificar sua localização, mas acredita-se que seja na Rússia porque a gangue não tem como alvo empresas russas ou as regiões do antigo bloco soviético.
No passado, as autoridades do Reino Unido e dos EUA também acusaram redes privadas virtuais (VPNs) para atingir organizações em todo o mundo e ocultar suas pegadas digitais. No entanto, a embaixada russa nos EUA negou as acusações.
Alvos REvil
Em maio de 2020, REvil roubou quase um terabyte de informações confidenciais do escritório de advocacia Grubman Shire Meiselas & Sacks, alegando ter “roupa suja" no presidente Trump. A gangue ameaçou divulgar dados online se o ransomware de US$ 42 milhões não fosse pago. A quadrilha declarou:
“A próxima pessoa que publicaremos é Donald Trump. Há uma corrida eleitoral, e encontramos uma tonelada de roupa suja na hora. Sr. Trump, se você quer continuar presidente, dê uma facada nos caras, caso contrário, você pode esquecer essa ambição para sempre.”
Em março de 2021, REvil atacou a Federação Harris como resultado, o sistema de TI da organização foi desligado por semanas, afetando milhares de usuários.
Em abril de 2021, o REvil atacou a Apple e roubou planos para os próximos produtos da Apple, incluindo o Apple Watch, laptops e muito mais. A quadrilha exigiu US$ 50 milhões por informações. Após o ataque, eles postaram em seu Happy Blog dizendo:
“Para não esperar pela próxima apresentação da Apple, hoje nós, do grupo REvil, vamos fornecer dados sobre os próximos lançamentos da empresa tão amada por muitos. Tim Cook pode dizer obrigado Quanta.”
Em maio de 2021, a JBS SA, empresa brasileira de processamento de carnes, foi atacada, desativando seus frigoríficos. Logo após alguns dias do ataque, a Casa Branca anunciou que o REvil pode estar por trás do ataque. A JBS pagou um resgate de US$ 11 milhões ao REvil em Bitcoin.
O alvo mais recente do REvil foi a Kaseya, uma fornecedora de tecnologia dos EUA. Em 2 de julho de 2021, o REvil mirou nos sistemas Kaseya e exigiu US$ 70 milhões em resgate para restaurar seus dados. Como resultado do ataque, a Swedish Coop, uma cadeia de supermercados, teve que fechar quase 800 lojas por vários dias.
Este foi um dos maiores ataques de ransomware da história. O ataque afetou milhares de pequenas empresas em todo o mundo. Após a Agência de Segurança Cibernética e Infraestrutura dos EUA, todos os usuários foram solicitados a desligar os servidores VSA imediatamente.
O ataque foi perfeitamente cronometrado, na sexta-feira, antes do feriado prolongado nos EUA, para espalhá-lo o mais rápido possível sem ser detectado.
Biden toma medidas contra REvil
Após o ataque, o presidente Joe Biden decidiu agir e orientou as agências de inteligência dos EUA a investigar o grupo por trás do ataque que atingiu centenas de empresas americanas.
Em 10 de julho, Biden ligou para o presidente Vladimir Putin e disse que deveria “agir”. Biden disse ainda:
“Deixei bem claro para ele que os Estados Unidos esperam que quando uma operação de ransomware vier de seu solo, mesmo que não seja patrocinada pelo estado, esperamos que eles ajam se dermos a eles informações suficientes para agir sobre quem é”.
Quando perguntado se haveria consequências, Biden sorriu e disse: “Sim”. Ele também disse que os EUA tomarão medidas e derrubarão os servidores do grupo REvil se Moscou não agir.
O desaparecimento da gangue REvil
Os sites, blogs e “toda a sua infraestrutura” da REvil sumiram, disse Allen Liska, analista de inteligência da Recorded Future. Liska também disse que o porta-voz público do REvil também chamou de “Desconhecido”, ” não está ativo nos fóruns desde quinta-feira passada”, e o site não responde há algum tempo.
Ainda não está claro por que o grupo desapareceu repentinamente da internet ou se o desaparecimento é apenas temporário ou permanente.
As mudanças recentes provocaram especulações sobre se a mudança foi uma decisão do próprio REvil de cessar operações como a ex-gangue russa de crimes cibernéticos, DarkSide, ou foi resultado de uma ação liderada pelo governo dos EUA.
John Hultquist, da Mandiant Threat Intelligence, disse:
“A situação ainda está se desenrolando, mas as evidências sugerem que o REvil sofreu uma queda planejada e simultânea de sua infraestrutura, seja pelos próprios operadores ou por meio da indústria ou ação da lei… acender."
Obviamente, isso é uma coisa boa, mas não para todas as empresas-alvo, como aponta Brett Callow, da Emsisoft :
“Se a aplicação da lei conseguiu interromper as operações da gangue, isso obviamente seria uma coisa boa, mas poderia criar problemas para qualquer empresa cujos dados estejam atualmente criptografados. Eles não teriam a opção de pagar ao REvil pela chave necessária para descriptografar seus dados.”
Liska também observou que a propriedade do site do REvil ainda não foi alterada, tornando menos provável a possibilidade de uma apreensão de domínio. Ele também disse: ” isso pode sugerir que essas são quedas autodirigidas (muito cedo para dizer)”.
Até agora, os porta-vozes do Conselho de Segurança Nacional da Casa Branca e do Comando Cibernético ainda não comentaram sobre o último desaparecimento do REvil. Mesmo que o governo dos EUA estivesse por trás do desaparecimento do REvil, existem outros grupos de ransomware que ainda estão ativos – levantando preocupações de segurança em todo o mundo.