Computação

O maior grupo de ransomware do mundo simplesmente desapareceu da Internet

A desativação ocorreu um dia antes de as autoridades americanas e russas se reunirem para falar sobre a crise do ransomware.

Um dos maiores grupos de ransomware mais ativos do mundo desapareceu repentinamente da Internet em meados de julho. O êxodo inexplicável aconteceu apenas um dia antes de oficiais de alto escalão da Casa Branca e da Rússia se reunirem para discutir a crise global do ransomware.

O grupo de ransomware, conhecido como REvil, existe há anos no submundo crescente do crime cibernético. Espantosos 42% de todos os ataques de ransomware recentes são da sua autoria, mas são conhecidos por dois episódios em particular. No início de julho, o grupo afetou pelo menos 1.000 negócios ao atacar a empresa de software Kaseya. Foi uma das campanhas mais amplas de ransomware já conduzidas. Em junho, o REvil atacou a fornecedora de carnes JBS e exigiu o pagamento de US $11 milhões. Mesmo quando os líderes mundiais voltavam a sua atenção para o ransomware e ameaçaram tomar medidas de ação, REvil era desafiador — até agora.

“É difícil descobrir o que está a acontecer”, disse Allan Liska, analista sénior de ameaças da empresa de segurança Recorded Future. “Mas estamos otimistas, mesmo que de forma cautelosa, de que um dos maiores grupos acabou”.

Existem algumas explicações sobre o que pode ter causado o desaparecimento em julho. Em primeiro lugar, o próprio gangue pode ter optado por se retirar, caso tenha ganho dinheiro suficiente ou sentido muita pressão. Os Estados Unidos ou os seus aliados podem tê-los desativado com êxito. Ou o governo russo, sob escrutínio internacional, pode ter forçado a desativação. O seu desaparecimento também pode ser temporário — muitos cibercriminosos fingem “aposentar-se” antes de reaparecer sob novas identidades.

“Recomendamos não tirar conclusões precipitadas, pois é cedo, mas REvil é, de facto, um dos grupos de ransomware mais implacáveis ​​e criativos que já vimos”, disse Ekram Ahmed, porta-voz da Check Point Software.

A resposta não é clara e o problema global do ransomware continua a piorar.

“Eu não sei o que isso significa, mas de qualquer maneira, estou feliz!” escreveu no seu Twitter Katie Nickels, diretora de inteligência da empresa norte-americana Red Canary. “Se foi obra do governo — incrível, estão a agir. Se os atores voluntariamente ficaram quietos, talvez estejam com medo. Ainda é importante lembrar que isso não resolve o problema do ransomware”.

Todos os sites usados ​​pela gangue REvil, incluindo o usado para publicar dados roubados, agora estão offline. Ainda mais significativo, porém, é que toda a infraestrutura e os computadores que o grupo usa para realizar ataques ficaram offline por volta das 8h, horário de Moscovo, na manhã do dia 13 de julho, de 2021, explica Liska. O porta-voz do grupo também está inativo há quase uma semana.

“Os sites de ransomware são hospedados em locais muito seguros e são instáveis, todos são ativados e desativados, como uma montanha-russa”, diz Liska. “Mas nunca fazem isso ao mesmo tempo”.

O REvil é um grupo de língua russa, o seu malware evita os computadores russos, e está ligado a outros grupos que, acredita-se, estão dentro da Rússia. Após o ataque massivo de julho, o secretário de imprensa da Casa Branca, Jen Psaki, disse: “Se o governo russo não puder ou não quiser tomar medidas contra criminosos na Rússia, nós agiremos ou nos reservamos o direito de fazê-lo”.

Com a cúpula EUA-Rússia marcada para se concentrar em ransomware, parece que a conversa pode ser diferente do que se esperava originalmente.

“O momento é fascinante. É logo após o ataque da Kaseya e antes da cúpula se reunir”, diz Liska. “Eles acabaram de conduzir, sem dúvida, o maior ransomware [ataque] da história. Sair de um ponto tão alto e, logo em seguida, ser desativado? Não acho que seja coincidência”.

Nossos tópicos