O grupo hacker REvil, conhecido por grandes ataques de ransomware (JBS, Colonial Pipeline e Kaseya), teve seu site e portal de pagamentos Tor sequestrados.
Segundo a Reuters, uma operação internacional comandada pelo FBI localizou e derrubou os servidores do grupo de ransomware REvil (ou Sodinokibi).
A notícia chega poucas semanas depois que o presidente Biden anunciou que os EUA reunirão mais de 30 países para combater e mitigar ameaças de ransomware. Tom Kellermann, chefe de estratégia de segurança cibernética da VMWare e consultor do Serviço Secreto dos Estados Unidos sobre crimes cibernéticos investigações disse à Reuters:
O FBI, em conjunto com o Comando Cibernético, o Serviço Secreto e países com ideias semelhantes, realmente se envolveu em ações disruptivas contra esses grupos. Revil estava no topo da lista.
Kellerman acrescentou que a polícia impediu o grupo de lançar novos ataques contra outras empresas nos últimos meses.
Segundo o site The Record, um líder do REvil, identificado online como "0_neday", disse que os servidores do REvil foram hackeados por um agente não identificado.
O servidor foi comprometido e eles estavam procurando por mim. Boa sorte a todos; estou indo.
Para ser mais preciso, eles deletaram o caminho para o meu serviço oculto no arquivo torrc e aumentaram o seu próprio para que eu fosse lá.
Os policiais foram capazes de invadir a infraestrutura de rede de computadores REvil e obter o controle de alguns servidores antes que o grupo ficasse offline em julho. Quando reapareceu, o grupo reiniciou sem saber alguns dos servidores que já eram controlados pelas autoridades policiais. Oleg Skulkin, vice-chefe do laboratório forense da empresa de segurança Group-IB, disse à Reuters:
A grupo de ransomware REvil restaurou a infraestrutura dos backups, supondo que eles não tivessem sido comprometidos.
Ironicamente, a tática favorita do grupo de comprometer os backups foi utilizada contra eles.
Paralelamente a essa ação, a empresa de análise de blockchain Elliptic revelou que US $ 7 milhões em bitcoin conseguidos pelo grupo através do ransomware DarkSide foram sendo transferidos por uma série de novas carteiras para tornar o dinheiro mais difícil de rastrear.
Os ataques de ransomware estão cada vez mais bem-sucedidos e lucrativos e tem sido caracterizados por complexas parcerias, com sindicatos de ransomware-as-a-service (RaaS), como REvil e DarkSide, alugando seu malware de criptografia de arquivo para afiliados recrutados por meio de fóruns online e canais do Telegram, que lançam ataques contra redes corporativas em troca de uma porcentagem do resgate pago.
Este modelo permite que os operadores de ransomware melhorem o produto, enquanto os afiliados podem se concentrar em espalhar o ransomware e infectar o maior número de vítimas possível para criar um fluxo de pagamentos de resgate.
Fontes: The Hacker News e Reuters
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
