Sites do grupo hacker REvil somem misteriosamente da dark web

Páginas do REvil, um dos grupos de ransomware mais perigosos da atualidade, sumiram da dark web sem explicação

Emerson Alecrim
Por
• Atualizado há 2 anos e 4 meses
Sites do REvil somem misteriosamente da dark web (imagem: PixaHive)

Sites do REvil somem misteriosamente da dark web (imagem: PixaHive)

O REvil (ou Sodinokibi), um dos grupos de ransomware mais ativos e perigosos da atualidade, sumiu. Ou parece ter sumido: as várias páginas que a gangue mantinha na dark web deixaram de funcionar na terça-feira (13). Não está claro, porém, se o REvil decidiu encerrar as suas atividades ou se o desligamento de seus sites foi uma ação conduzida por autoridades.

As duas possibilidades são plausíveis pelo mesmo motivo: o REvil está em evidência. O grupo tem atacado grandes empresas e, com isso, vem chamando a atenção de autoridades, especialmente dos Estados Unidos.

Por padrão, ransomwares são desenvolvidos com um único objetivo: criptografar dados do alvo e cobrar dele o pagamento de um resgate pela liberação de uma chave de descriptografia. É como um sequestro, mas digital.

Um exemplo notável é o caso da JBS, que foi atacada pelo REvil em maio de 2021 e, dias depois, reconheceu ter pago um resgate de US$ 11 milhões ao grupo.

Especialistas em segurança e autoridades recomendam, veementemente, que pagamentos de resgate nunca sejam feitos. O problema é que muitos ataques deixam a organização encurralada. As gangues até ameaçam divulgar dados sigilosos da vítima para aumentar a pressão pelo pagamento do resgate.

Essa abordagem é muito utilizada pelo REvil. Para provar que está de posse de dados sigilosos, o grupo costuma divulgar amostras de arquivos ou documentos da vítima em sites na dark web. Ou costumava: como você já sabe, essas páginas estão offline.

Além de divulgar amostras, o REvil utilizava as páginas para negociar resgates, reivindicar ataques ou, efetivamente, vazar dados. Mas, hoje, qualquer tentativa de acesso a esses sites falha. Pode acontecer de um ou outro ficar inacessível de vez em quando, mas todos ao mesmo tempo? A suspeita de fechamento intencional é forte.

Hipóteses para o fechamento dos sites

O jornal The New York Times levantou três possibilidades para o sumiço dos sites do REvil: operação conduzida por alguma agência americana, como o FBI; fechamento por ordem do presidente Vladimir Putin — supostamente, o REvil é de origem russa —; e encerramento por determinação do próprio grupo.

A primeira hipótese é baseada na preocupação do governo americano sobre a crescente atuação dos grupos de ransomware. O recente ataque do REvil à empresa de TI Kaseya, que afetou centenas de empresas, pode ter sido a gota d’água para as autoridades americanas.

Isso também explicaria uma reação do governo russo. É possível que a administração Putin tenha agido para rebater as queixas do presidente dos Estados Unidos de que a Rússia não colabora para mitigar ataques cibernéticos oriundos de seu território.

Em declaração recente, Joe Biden afirmou ter deixado claro a Putin que os Estados Unidos poderiam agir por conta própria se o governo russo não tomar providências quando ataques de ransomware forem conduzidos a partir de seu país.

Happy Blog, site do REvil na dark web usado para publicar amostras de ataques (imagem: Emerson Alecrim/Tecnoblog)

Happy Blog, site do REvil usado para publicar amostras de ataques (imagem: Emerson Alecrim/Tecnoblog)

Por fim, a desativação da infraestrutura do REvil pode ter sido voluntária. Um representante de outro grupo, o LockBit, postou em fórum para hackers que o REvil apagou seus servidores por temer uma suposta ação do governo russo.

Uma decisão do tipo não seria inédita. Não é incomum grupos de ransomwares encerrarem suas atividades e se dispersarem após perceberem uma aproximação de autoridades. Foi o que aconteceu com outro grupo perigoso, o DarkSide.

Existe uma hipótese extra: a de que o REvil tenha simplesmente feito uma pausa para sair do centro das atenções.

REvil tem “afiliados”

Mesmo que o sumiço do REvil se confirme, não dá para manter um clima de “o perigo passou”. Esse e outros grupos seguem o modelo de Ransomware as a Service, ou seja, fornecem ransomwares para que hackers “afiliados” efetuem ataques em troca de pagamento de comissões.

Isso significa que o REvil pode surgir na forma de outros grupos, assim como seus afiliados podem recorrer a outros ransomwares. O próprio REvil teria surgido assim: aparentemente, o grupo foi formado após o fechamento da gangue GandCrab, em 2019.

Com informações: BleepingComputer.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Canal Exclusivo

Relacionados

Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI
Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI
Rússia manda recado para hackers com prisão de membros do grupo REvil
Rússia manda recado para hackers com prisão de membros do grupo REvil
Sites do REvil, ransomware que atacou JBS e outras empresas, voltam ao ar
Sites do REvil, ransomware que atacou JBS e outras empresas, voltam ao ar
Fleury é alvo do ransomware REvil e pacientes ficam sem acesso a exames
Fleury é alvo do ransomware REvil e pacientes ficam sem acesso a exames
JBS foi alvo do grupo de ransomware REvil, segundo FBI
JBS foi alvo do grupo de ransomware REvil, segundo FBI
Qual a origem e história do grupo Anonymous?
Qual a origem e história do grupo Anonymous?
Ataque hacker derruba sistemas do TJRS com ransomware
Ataque hacker derruba sistemas do TJRS com ransomware
Hackers apagam ameaça de extorsão à Apple e imagens de MacBook vazado
Hackers apagam ameaça de extorsão à Apple e imagens de MacBook vazado
O que é um hacker?
O que é um hacker?
Telegram vira alternativa à dark web para venda de dados roubados
Telegram vira alternativa à dark web para venda de dados roubados