Operação dos EUA e países aliados encerra atividade do REvil

No seguimento de uma operação entre agências de autoridade e inteligência nos EUA e países parceiros, o REvil foi forçado a encerrar as atividades e o site Happy Blog do grupo cibercriminoso – que costumava divulgar os dados das vítimas para efeitos de extorsão – já não está disponível.

O REvil, sediado na Rússia, foi responsável por alguns dos mais ferozes ciberataques – em maio atingiu a Colonial Pipeline e centenas de clientes da Kaseya. Logo após o ataque à multinacional, o FBI foi altamente criticado por revelar que tinha obtido a chave de desencriptação universal, que poderia ajudar as vítimas do ataque, mas optou por não o divulgar ao mesmo tempo que preparava a operação contra o grupo. Contudo, o REvil ficou offline ainda antes da operação avançar."O FBI, em conjunto com o Cyber Command, os Serviços Secretos e países aliados, envolveram-se verdadeiramente em significativas ações disruptivas contra estes grupos", disse Tom Kellerman, conselheiro de cibercrime dos Serviços Secretos dos EUA – o "REvil estava no topo da lista”, completa. 

A Recorded Future reportou na semana passada uma série de publicações de um ator do REvil conhecido como 0_neday, em que disse que os servidores do REvil tinham sido invadidos por uma fonte desconhecida – “o servidor estava comprometido e eles estavam à minha procura", escreveu 0_neday no forum XSS. "Boa sorte a todos; estou de fora”, disse.

É de notar que os sites utilizados pelo grupo de ransomware ficaram offline em julho, logo depois do ataque à Kaseya, e o principal porta-voz do grupo desapareceu, com outros membros do REvil a concluir, alegadamente, que ele tinha morrido. O 0_neday e outros atores restabeleceram os sistemas da REvil em setembro, mas utilizara cópias de segurança que já tinham sido comprometidas pelas autoridades, segundo os investigadores.

"O grupo de ransomware REvil restaurou a infraestrutura a partir dos backups, assumindo que não tinham sido comprometidos", disse Oleg Skulkin, vice-chefe do laboratório forense do Group-IB. Allan Liska, perito em ransomware da Recorded Future, disse à ZDNet  que o relançamento do REvil permitiu às autoridades ganharem terreno.

Segundo o Conselho Nacional de Segurança dos EUA, “em termos gerais, estamos a realizar todo um esforço no que toca a ransomware, incluindo a interrupção da infraestrutura de ransomware e dos atores, trabalhando com o setor privado para modernizar as nossas defesas e construindo uma coligação internacional para responsabilizar os países que acolhem estes atores”.

A mudança de abordagem dos EUA começou com a procuradora-geral adjunta dos EUA, Lisa Monaco, a dizer que os ataques de ransomware a infraestruturas críticas devem ser tratados como uma questão de segurança nacional semelhante ao terrorismo. Essa discussão deu origem a uma base legal para a investigação das agências, que antes não podiam entrar nos fóruns.