News

Operação dos EUA e países aliados encerra atividade do REvil

O site do grupo de ransomware russo REvil – Happy Blog – já não está disponível

01/11/2021

Operação dos EUA e países aliados encerra atividade do REvil

No seguimento de uma operação entre agências de autoridade e inteligência nos EUA e países parceiros, o REvil foi forçado a encerrar as atividades e o site Happy Blog do grupo cibercriminoso – que costumava divulgar os dados das vítimas para efeitos de extorsão – já não está disponível.

O REvil, sediado na Rússia, foi responsável por alguns dos mais ferozes ciberataques – em maio atingiu a Colonial Pipeline e centenas de clientes da Kaseya. Logo após o ataque à multinacional, o FBI foi altamente criticado por revelar que tinha obtido a chave de desencriptação universal, que poderia ajudar as vítimas do ataque, mas optou por não o divulgar ao mesmo tempo que preparava a operação contra o grupo. Contudo, o REvil ficou offline ainda antes da operação avançar."O FBI, em conjunto com o Cyber Command, os Serviços Secretos e países aliados, envolveram-se verdadeiramente em significativas ações disruptivas contra estes grupos", disse Tom Kellerman, conselheiro de cibercrime dos Serviços Secretos dos EUA – o "REvil estava no topo da lista”, completa. 

A Recorded Future reportou na semana passada uma série de publicações de um ator do REvil conhecido como 0_neday, em que disse que os servidores do REvil tinham sido invadidos por uma fonte desconhecida – “o servidor estava comprometido e eles estavam à minha procura", escreveu 0_neday no forum XSS. "Boa sorte a todos; estou de fora”, disse.

É de notar que os sites utilizados pelo grupo de ransomware ficaram offline em julho, logo depois do ataque à Kaseya, e o principal porta-voz do grupo desapareceu, com outros membros do REvil a concluir, alegadamente, que ele tinha morrido. O 0_neday e outros atores restabeleceram os sistemas da REvil em setembro, mas utilizara cópias de segurança que já tinham sido comprometidas pelas autoridades, segundo os investigadores.

"O grupo de ransomware REvil restaurou a infraestrutura a partir dos backups, assumindo que não tinham sido comprometidos", disse Oleg Skulkin, vice-chefe do laboratório forense do Group-IB. Allan Liska, perito em ransomware da Recorded Future, disse à ZDNet  que o relançamento do REvil permitiu às autoridades ganharem terreno.

Segundo o Conselho Nacional de Segurança dos EUA, “em termos gerais, estamos a realizar todo um esforço no que toca a ransomware, incluindo a interrupção da infraestrutura de ransomware e dos atores, trabalhando com o setor privado para modernizar as nossas defesas e construindo uma coligação internacional para responsabilizar os países que acolhem estes atores”.

A mudança de abordagem dos EUA começou com a procuradora-geral adjunta dos EUA, Lisa Monaco, a dizer que os ataques de ransomware a infraestruturas críticas devem ser tratados como uma questão de segurança nacional semelhante ao terrorismo. Essa discussão deu origem a uma base legal para a investigação das agências, que antes não podiam entrar nos fóruns. 


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº18 Junho 2024

IT SECURITY Nº18 Junho 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.