REvil, uma formidável operação Ransomware-as-a-Service (RaaS) que veio à tona no final de abril de 2019, retornou. Após seis meses de inatividade – após o ataque das autoridades russas – o grupo de ransomware parece ter retomado a operação.
A análise de novas amostras de ransomware revela que o desenvolvedor tem acesso ao código-fonte do REvil, o que significa que o grupo de ameaças ressurgiu. Essas suspeitas foram reforçadas quando o site da equipe do ransomware foi relançado na dark web.
Já vimos muitos grupos de ransomware antes, mas o que torna o REvil especial? O que o retorno do grupo significa para o mundo cibernético? Vamos descobrir!
O que torna o REvil Ransomware único?
O REvil construiu uma reputação por perseguir alvos de alto perfil e altamente lucrativos e exigir pagamentos exorbitantes de suas vítimas. É também um dos primeiros grupos a adotar a tática de dupla extorsão na qual eles exfiltravam os dados da vítima e os criptografavam.
o dupla extorsão ransomware O esquema permite que o REvil exija dois resgates por altos ganhos financeiros. Em entrevista com
OSINT russo, os desenvolvedores do grupo alegaram que ganharam mais de US$ 100 milhões em um ano visando grandes empresas. No entanto, apenas uma fração disso foi para os desenvolvedores, enquanto os afiliados ficaram com a parte do leão.Principais ataques do REvil Ransomware
O grupo de ransomware REvil está por trás de alguns dos os maiores ataques de ransomware de 2020-21. O grupo ganhou destaque em 2020, quando atacou a Travelex, levando ao fim da empresa. No ano seguinte, o REvil começou a fazer manchetes ao realizar ataques cibernéticos altamente lucrativos que interromperam a infraestrutura pública e as cadeias de suprimentos.
O grupo atacou empresas como Acer, Quanta Computer, JBS Foods e o provedor de software e gerenciamento de TI Kaseya. O grupo provavelmente tinha alguns links para o notório ataque Colonial Pipeline, que interrompeu a cadeia de abastecimento de combustível nos EUA.
Após o ataque do ransomware Kaseya REvil, o grupo ficou em silêncio por algum tempo para mitigar a atenção indesejada que trouxe para si mesmo. Houve muita especulação de que o grupo estava planejando uma nova série de ataques no verão de 2021, mas a polícia tinha outros planos para os operadores do REvil.
Dia de Acerto de Contas para o REvil Cyber Gang
À medida que a notória gangue de ransomware ressurgia para novos ataques, eles descobriram que sua infraestrutura estava comprometida e se voltaram contra eles. Em janeiro de 2022, o serviço de segurança estatal russo FSB anunciou que havia interrompido as atividades do grupo a pedido dos Estados Unidos.
Vários membros de gangues foram presos e seus bens apreendidos, incluindo milhões de dólares americanos, euros e rublos, bem como 20 carros de luxo e carteiras de criptomoedas. As prisões do ransomware REvil também foram feitas na Europa Oriental, incluindo a Polônia, onde as autoridades detiveram um suspeito no ataque Kaseya.
A queda do REvil após as prisões de membros-chave do grupo foi naturalmente bem-vinda na comunidade de segurança, e muitos assumiram que a ameaça havia passado completamente. No entanto, a sensação de alívio durou pouco, pois a gangue agora reiniciou suas operações.
O ressurgimento do REvil Ransomware
Pesquisadores de Secureworks analisou uma amostra de malware de março e deu a entender que a gangue pode estar de volta à ação. Os pesquisadores descobriram que o desenvolvedor provavelmente tem acesso ao código-fonte original usado pelo REvil.
O domínio usado pelo site de vazamento do REvil também começou a operar novamente, mas agora redireciona os visitantes para uma nova URL onde mais de 250 organizações de vítimas do REvil estão listadas. A lista contém uma mistura de antigas vítimas do REvil e alguns novos alvos.
A Oil India – uma empresa indiana de negócios de petróleo – foi a mais proeminente das novas vítimas. A empresa confirmou a violação de dados e foi atendida com um pedido de resgate de US$ 7,5 milhões. Embora o ataque tenha causado especulações de que o REvil estava retomando as operações, ainda havia dúvidas sobre se esta era uma operação imitadora.
A única maneira de confirmar o retorno do REvil era encontrar uma amostra do criptografador da operação de ransomware e ver se ele foi compilado a partir do código-fonte original.
No final de abril, o pesquisador da Avast Jakub Kroustek descobriu o criptografador do ransomware e confirmou que era de fato uma variante do REvil. A amostra não criptografou arquivos, mas adicionou uma extensão aleatória aos arquivos. Analistas de segurança disseram que era um bug introduzido pelos desenvolvedores do ransomware.
Vários analistas de segurança afirmaram que a nova amostra de ransomware está ligada ao código-fonte original, o que significa que alguém da gangue - por exemplo, um desenvolvedor principal - deve estar envolvido.
A Composição do Grupo REvil
O reaparecimento do REvil após as supostas prisões no início deste ano levantou questões sobre a composição do grupo e seus laços com o governo russo. A gangue ficou obscura devido ao sucesso da diplomacia dos EUA antes do início do conflito Rússia-Ucrânia.
Para muitos, o ressurgimento repentino do grupo sugere que a Rússia pode querer usá-lo como um multiplicador de força nas tensões geopolíticas em curso.
Como nenhum indivíduo foi identificado ainda, não está claro quem está por trás da operação. Esses são os mesmos indivíduos que comandaram as operações anteriores ou um novo grupo assumiu?
A composição do grupo controlador ainda é um mistério. Mas, dadas as prisões no início deste ano, é provável que o grupo tenha alguns operadores que não faziam parte do REvil anteriormente.
Para alguns analistas, não é incomum que grupos de ransomware desapareçam e reapareçam de outras formas. No entanto, não se pode eliminar totalmente a possibilidade de alguém alavancar a reputação da marca para se firmar.
Proteção contra ataques do REvil Ransomware
A prisão do chefão do REvil foi um grande dia para a segurança cibernética, especialmente quando os grupos de ransomware visavam tudo, desde instituições públicas a hospitais e escolas. Mas, como visto com qualquer interrupção na atividade criminosa online, isso não significou o fim da pandemia de ransomware.
O perigo no caso do REvil é o esquema de dupla extorsão em que o grupo tentaria vender seus dados e manchar a imagem de uma marca e o relacionamento com os clientes.
Em geral, uma boa estratégia para combater esses ataques é proteger sua rede e realizar testes de simulação. Um ataque de ransomware geralmente ocorre devido a vulnerabilidades não corrigidas, e os ataques de simulação podem ajudá-lo a identificá-los.
Outra estratégia importante de mitigação é verificar todos antes que eles possam acessar sua rede. Como tal, uma estratégia de confiança zero pode ser benéfica, pois funciona com o princípio básico de nunca confiar em ninguém e verificar todos os usuários e dispositivos antes de conceder acesso aos recursos da rede.