O REvil, o infame cartel de ransomware por trás de alguns dos maiores ataques cibernéticos contra JBS e Kaseya, desapareceu misteriosamente da dark web, levando a especulações de que a empresa criminosa pode ter sido derrubada.
Vários sites darknet e clearnet mantidos pelo sindicato do crime cibernético vinculado à Rússia, incluindo vazamento de dados, extorsão e portais de pagamento, permaneceram inacessíveis, exibindo uma mensagem de erro “Onionsite not found”.
A infraestrutura de rede Tor do grupo na dark web consiste em um blog de vazamento de dados e 22 sites de hospedagem de dados. Não está imediatamente claro o que levou a infraestrutura a ser desativada.
O REvil é um dos grupos de ransomware-as-a-service (RaaS) mais prolíficos que apareceu pela primeira vez no cenário de ameaças em abril de 2019. É uma evolução do ransomware GandCrab , que atingiu os mercados clandestinos no início de 2018.
“Se o REvil foi permanentemente interrompido, isso marcará o fim de um grupo que foi responsável por mais de 360 ataques nos setores público e privado dos Estados Unidos somente neste ano”, comunicou Brett Callow da Emsisoft .
O súbito desenvolvimento vem logo após um ataque de ransomware em larga escala à cadeia de suprimentos direcionado ao provedor de serviços de tecnologia Kaseya, pelo qual o REvil (também conhecido como Sodinokibi) assumiu a responsabilidade e exigiu um resgate de US $70 milhões para desbloquear o acesso a sistemas criptografados em troca de um chave de descriptografia universal que desbloquearia todos os dados das vítimas.
O desastroso ataque viu a gangue de ransomware criptografar aproximadamente 60 provedores de serviços gerenciados (MSPs) e mais de 1.500 empresas downstream usando uma vulnerabilidade de zero-day no software de gerenciamento remoto Kaseya VSA. No final de maio, REvil também planejou o ataque ao maior produtor de carne do mundo, JBS, que acabou pagando $11 milhões aos extorsionários para se recuperarem do incidente.
A interrupção também coincide com o telefonema do presidente dos EUA, Joe Biden, com o presidente russo, Vladimir Putin, na semana passada, pressionando este último a tomar medidas para interromper grupos de ransomware que operam no país, enquanto alerta sobre uma ação retaliatória para defender a infraestrutura crítica.
“A situação ainda está se desenrolando, mas as evidências sugerem que o REvil sofreu uma remoção planejada e simultânea de sua infraestrutura, seja pelos próprios operadores ou por meio de ações da indústria ou de aplicação da lei”, disse John Hultquist da FireEye Mandiant à CNBC.
Parece que o Happy Blog do REvil foi retirado do ar por volta da 1h nesta terça-feira, com o vx-underground observando que o representante público do grupo, Unknown, não postou em fóruns de hackers populares como Exploit e XSS desde 8 de julho.
Posteriormente, um representante do ransomware LockBit postou no fórum de hackers de língua russa XSS que a infraestrutura de ataque do REvil recebeu uma solicitação legal do governo, fazendo com que os servidores fossem desmontados. “REvil foi banido do XSS”, vx-underground acrescentou mais tarde .
Não é incomum para grupos de ransomware irem para o subsolo após incidentes altamente divulgados. Depois que a gangue DarkSide atacou Colonial Pipeline em maio, as operadoras anunciaram planos de encerrar seu programa de afiliados RaaS para sempre, alegando que seus servidores foram apreendidos por uma agência de aplicação da lei desconhecida, levantando questões sobre se o grupo realmente se aposentou ou mudou de marca sob um novo nome.
Essa teoria foi validada algumas semanas depois, quando o Departamento de Justiça dos EUA revelou no mês passado que foi capaz de recuperar a maior parte do dinheiro pago pela Colonial Pipeline ao grupo DarkSide por meio de uma análise das trilhas de bitcoin.
O fechamento inexplicado de REvil, de forma semelhante, pode muito bem ser um caso de aposentadoria planejada, ou um revés temporário, forçando-o a aparentemente se desfazer apenas para eventualmente se recompor sob uma nova identidade de modo a atrair menos atenção, ou uma consequência de um aumento internacional escrutínio na esteira da crise global de ransomware.
Se realmente for descoberto que o grupo encerrou permanentemente as operações, a mudança está fadada a deixar os alvos do grupo em apuros, sem meios viáveis para negociar resgates e obter as chaves de descriptografia necessárias para recuperar o controle de seus sistemas, portanto, permanentemente bloqueando-os de seus dados.
“Eu não sei o que isso significa, mas de qualquer maneira, estou feliz!” comunicou Katie Nickels, diretora de inteligência da Red Canary. “Se for uma derrubada do governo – incrível, eles estão agindo. Se os atores voluntariamente silenciarem, excelente, talvez eles estejam com medo.”
Este artigo é uma tradução de https://thehackernews.com/2021/07/revil-ransomware-gang-mysteriously.html (Autor: )