Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI
Operação internacional liderada pelo FBI derrubou o REvil, um dos mais perigosos grupos de ransomware da atualidade
Nesta semana, um dos grupos de ransomware mais perigosos dos últimos tempos deixou de ser uma ameaça. Uma operação liderada pelo FBI e realizada por autoridades de vários países fez a gangue REvil ser desmantelada. Como? Ironicamente, os servidores do grupo foram hackeados.
- Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
- Brasil vai combater ransomware junto a liga global liderada pelos EUA
A informação vem da Reuters, que ouviu especialistas que acompanham a operação de perto. Entre eles está Tom Kellermann, chefe segurança cibernética da VMWare e assessor do Serviço Secreto dos Estados Unidos.
Como o REvil foi derrubado
Para entender como essa coalizão, por assim dizer, conseguiu tirar o REvil de cena, precisamos voltar ao mês de julho, quando o grupo executou um dos maiores ataques de ransomware de que se tem notícia.
Na ocasião, o REvil conseguiu infectar um software da empresa de TI Kaseya. Esse software foi distribuído posteriormente como uma atualização para os clientes da companhia. Resultado: centenas ou, talvez, milhares de organizações tiveram sistemas comprometidos pelo ransomware.
O FBI agiu rápido e conseguiu obter uma chave capaz de descriptografar todos os sistemas afetados. Mas essa chave não foi enviada às vítimas prontamente. O FBI a reteve durante algumas semanas e usou esse período para, silenciosamente, rastrear o REvil.
Com essa ação, autoridades policiais e especialistas em segurança puderam hackear alguns dos servidores do grupo. Provavelmente, isso explica o fato de, dias após o ataque à Kaseya, o REvil ter sumido da dark web. Tudo indica que o grupo decidiu “tirar férias” após ter a sua infraestrutura comprometida.
Quando isso aconteceu, o principal porta-voz do grupo, um membro que se identificava como Unknown (Desconhecido), também deixou de agir. Coube a um membro que se identifica como 0_neday, com apoio de outros integrantes, restaurar um backup que fez os sites do REvil voltarem a funcionar, em setembro.
O que 0_neday não sabia é que esse backup também havia sido comprometido pelas autoridades. Assim, quando os sistemas do REvil foram restaurados, os policiais puderam monitorar o grupo novamente.
Ao perceber o que aconteceu, 0_neday postou uma mensagem em um fórum hacker dizendo que “o servidor foi comprometido e eles estavam procurando por mim”. O aviso foi encerrado com a frase “boa sorte a todos, eu estou fora”.
A Casa Branca e o FBI não comentaram o assunto, mas uma fonte anônima relatou à Reuters que a operação ainda está em andamento. É provável que as autoridades ainda estejam tentando identificar e deter membros do grupo.
De todo modo, a ação já surtiu efeito. O grupo está inoperante. As páginas do REvil na dark web ficaram inacessíveis novamente, entre elas, o Happy Blog, que o grupo usava para divulgar amostras de dados das vítimas.
Os estragos causados pelo REvil
O REvil sai de cena deixando para trás uma onda de estragos. O grupo foi responsável por grandes ataques em 2021, em várias partes do mundo. Os mais notáveis são estes:
Leia | Qual a origem e história do grupo Anonymous?
- Quanta Computer: parceira de produção da Apple, a empresa teve esquemas de design de MacBooks Pro roubados pelo grupo;
- JBS: o grupo brasileiro de alimentos teve as suas operações paralisadas na Austrália, Canadá e Estados Unidos; para restaurar seus sistemas, a companhia pagou um resgate de US$ 11 milhões ao REvil;
- Kaseya: o REvil infectou uma atualização do sistema Kaseya VSA, que posteriormente foi distribuída a clientes. Centenas ou milhares de empresas foram infectadas na sequência.