Início » Antivírus e Segurança » Sites do grupo hacker REvil somem misteriosamente da dark web

Sites do grupo hacker REvil somem misteriosamente da dark web

Páginas do REvil, um dos grupos de ransomware mais perigosos da atualidade, sumiram da dark web sem explicação

Emerson Alecrim Por

O REvil (ou Sodinokibi), um dos grupos de ransomware mais ativos e perigosos da atualidade, sumiu. Ou parece ter sumido: as várias páginas que a gangue mantinha na dark web deixaram de funcionar na terça-feira (13). Não está claro, porém, se o REvil decidiu encerrar as suas atividades ou se o desligamento de seus sites foi uma ação conduzida por autoridades.

Sites do REvil somem misteriosamente da dark web (imagem: PixaHive)

Sites do REvil somem misteriosamente da dark web (imagem: PixaHive)

As duas possibilidades são plausíveis pelo mesmo motivo: o REvil está em evidência. O grupo tem atacado grandes empresas e, com isso, vem chamando a atenção de autoridades, especialmente dos Estados Unidos.

Por padrão, ransomwares são desenvolvidos com um único objetivo: criptografar dados do alvo e cobrar dele o pagamento de um resgate pela liberação de uma chave de descriptografia. É como um sequestro, mas digital.

Um exemplo notável é o caso da JBS, que foi atacada pelo REvil em maio de 2021 e, dias depois, reconheceu ter pago um resgate de US$ 11 milhões ao grupo.

Especialistas em segurança e autoridades recomendam, veementemente, que pagamentos de resgate nunca sejam feitos. O problema é que muitos ataques deixam a organização encurralada. As gangues até ameaçam divulgar dados sigilosos da vítima para aumentar a pressão pelo pagamento do resgate.

Essa abordagem é muito utilizada pelo REvil. Para provar que está de posse de dados sigilosos, o grupo costuma divulgar amostras de arquivos ou documentos da vítima em sites na dark web. Ou costumava: como você já sabe, essas páginas estão offline.

Além de divulgar amostras, o REvil utilizava as páginas para negociar resgates, reivindicar ataques ou, efetivamente, vazar dados. Mas, hoje, qualquer tentativa de acesso a esses sites falha. Pode acontecer de um ou outro ficar inacessível de vez em quando, mas todos ao mesmo tempo? A suspeita de fechamento intencional é forte.

Hipóteses para o fechamento dos sites

O jornal The New York Times levantou três possibilidades para o sumiço dos sites do REvil: operação conduzida por alguma agência americana, como o FBI; fechamento por ordem do presidente Vladimir Putin — supostamente, o REvil é de origem russa —; e encerramento por determinação do próprio grupo.

A primeira hipótese é baseada na preocupação do governo americano sobre a crescente atuação dos grupos de ransomware. O recente ataque do REvil à empresa de TI Kaseya, que afetou centenas de empresas, pode ter sido a gota d’água para as autoridades americanas.

Isso também explicaria uma reação do governo russo. É possível que a administração Putin tenha agido para rebater as queixas do presidente dos Estados Unidos de que a Rússia não colabora para mitigar ataques cibernéticos oriundos de seu território.

Em declaração recente, Joe Biden afirmou ter deixado claro a Putin que os Estados Unidos poderiam agir por conta própria se o governo russo não tomar providências quando ataques de ransomware forem conduzidos a partir de seu país.

Happy Blog, site do REvil na dark web usado para publicar amostras de ataques (imagem: Emerson Alecrim/Tecnoblog)

Happy Blog, site do REvil usado para publicar amostras de ataques (imagem: Emerson Alecrim/Tecnoblog)

Por fim, a desativação da infraestrutura do REvil pode ter sido voluntária. Um representante de outro grupo, o LockBit, postou em fórum para hackers que o REvil apagou seus servidores por temer uma suposta ação do governo russo.

Uma decisão do tipo não seria inédita. Não é incomum grupos de ransomwares encerrarem suas atividades e se dispersarem após perceberem uma aproximação de autoridades. Foi o que aconteceu com outro grupo perigoso, o DarkSide.

Existe uma hipótese extra: a de que o REvil tenha simplesmente feito uma pausa para sair do centro das atenções.

REvil tem “afiliados”

Mesmo que o sumiço do REvil se confirme, não dá para manter um clima de “o perigo passou”. Esse e outros grupos seguem o modelo de Ransomware as a Service, ou seja, fornecem ransomwares para que hackers “afiliados” efetuem ataques em troca de pagamento de comissões.

Isso significa que o REvil pode surgir na forma de outros grupos, assim como seus afiliados podem recorrer a outros ransomwares. O próprio REvil teria surgido assim: aparentemente, o grupo foi formado após o fechamento da gangue GandCrab, em 2019.

Com informações: BleepingComputer.

Comentários da Comunidade

Participe da discussão
2 usuários participando