Rússia manda recado para hackers com prisão de membros do grupo REvil
Ao deter membros da gangue de ransomware REvil, autoridades russas deixam nas entrelinhas que estão de olho em ações de hackers
O REvil (ou Sodinokibi) fez tanto estrago com seu ransomware que, no ano passado, o governo dos Estados Unidos promoveu uma “caçada” para desmantelar o grupo. Funcionou, aparentemente. Mas, como que para garantir que a gangue não voltará à ativa, o Serviço Federal de Segurança da Rússia (FSB) anunciou uma operação que levou à prisão 14 membros do REvil.
- Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
- Como detectar e remover um rootkit [Windows/Mac]
Chegar aos integrantes do grupo foi, certamente, uma tarefa desafiadora. O REvil atuava com o modelo de “Ransomware as a Service”, ou seja, oferecia uma espécie de programa de afiliados que recrutava terceiros para efetuar ataques usando o seu ransomware em troca de recompensas. Isso significa que a gangue pode (ou podia) contar com colaboradores em qualquer lugar do mundo, o que dificulta a identificação dos membros mais importantes.
Dificulta, mas não impossibilita. Em outubro de 2021, uma operação internacional liderada pelo FBI conseguiu, ironicamente, hackear os servidores do REvil. O efeito não poderia ter sido outro: o grupo foi desmantelado.
Meses antes, a gangue havia sumido, mas por iniciativa própria. Depois do engenhoso ataque à companhia de TI Kaseya, o REvil decidiu “tirar férias”, aparentemente por, naquela época, o FBI estar em seu encalço.
Tempos depois, parte do grupo voltou a agir, mas não por muito tempo: os servidores do grupo já tinham sido comprometidos pelas autoridades e, quando os membros ativos perceberam isso, houve uma debandada geral.
Assunto encerrado, certo? Para as autoridades americanas, não. O próximo passo estava em localizar os membros do REvil, pelo menos alguns deles.
Autoridades russas em ação
Desde que as ações do REvil ganharam o noticiário, existia a suspeita de que pelo menos parte de seus líderes estava baseada na Rússia. Por causa disso, houve uma pressão internacional, oriunda principalmente do governo dos Estados Unidos, para que as autoridades russas tomassem providências.
A tal pressão tem origem, sobretudo, na percepção do governo americano de que a Rússia pouco ou nada fazia para atacar problemas de segurança digital. Se intencionalmente ou não, o recente anúncio do FSB tenta mostrar que não é bem assim e, de quebra, manda um recado a outros grupos de ransomware — algo como “estamos de olho em vocês”.
As autoridades russas afirmam ter realizado ações em pelo menos 25 endereços de Moscou, São Petersburgo e Lipetsk relacionados a 14 supostos membros do REvil.
Todos foram detidos, mas não tiveram seus nomes divulgados pelo FSB. Se considerados culpados, eles poderão pegar até sete anos de prisão.
Também houve apreensão de bens e dinheiro, entre eles, 20 carros de luxo, computadores, US$ 600 mil, 500 mil euros e 426 milhões de rublos (a moeda russa).
Ainda de acordo com o FSB, os Estados Unidos foram informados sobre a ação, no entanto, uma fonte familiarizada com a operação disse à agência de notícias Interfax que os membros do REvil com cidadania russa não serão entregues às autoridades americanas.
Os estragos deixados pelo REvil
Com a ação das autoridades russas, a trajetória do REvil parece ter mesmo chegado ao fim. Mas o grupo “se despede” deixando um rastro de estragos e prejuízos. Os ataques mais notáveis da gangue, considerando apenas o ano de 2021, são estes:
- Quanta Computer: parceira de produção da Apple, a companhia teve esquemas de design de MacBooks Pro roubados pelo grupo;
- JBS: o grupo brasileiro de alimentos teve as suas operações paralisadas na Austrália, Canadá e Estados Unidos; para restaurar seus sistemas, a companhia pagou um resgate de US$ 11 milhões ao REvil;
- Kaseya: o REvil infectou uma atualização do sistema Kaseya VSA, que posteriormente foi distribuída a clientes. Centenas ou milhares de empresas foram infectadas na sequência.
Com informações: Reuters, TechCrunch.
