Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI

Operação internacional liderada pelo FBI derrubou o REvil, um dos mais perigosos grupos de ransomware da atualidade

Emerson Alecrim
• Atualizado há 3 anos

Nesta semana, um dos grupos de ransomware mais perigosos dos últimos tempos deixou de ser uma ameaça. Uma operação liderada pelo FBI e realizada por autoridades de vários países fez a gangue REvil ser desmantelada. Como? Ironicamente, os servidores do grupo foram hackeados.

Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)
Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)

A informação vem da Reuters, que ouviu especialistas que acompanham a operação de perto. Entre eles está Tom Kellermann, chefe segurança cibernética da VMWare e assessor do Serviço Secreto dos Estados Unidos.

Como o REvil foi derrubado

Para entender como essa coalizão, por assim dizer, conseguiu tirar o REvil de cena, precisamos voltar ao mês de julho, quando o grupo executou um dos maiores ataques de ransomware de que se tem notícia.

Na ocasião, o REvil conseguiu infectar um software da empresa de TI Kaseya. Esse software foi distribuído posteriormente como uma atualização para os clientes da companhia. Resultado: centenas ou, talvez, milhares de organizações tiveram sistemas comprometidos pelo ransomware.

O FBI agiu rápido e conseguiu obter uma chave capaz de descriptografar todos os sistemas afetados. Mas essa chave não foi enviada às vítimas prontamente. O FBI a reteve durante algumas semanas e usou esse período para, silenciosamente, rastrear o REvil.

Com essa ação, autoridades policiais e especialistas em segurança puderam hackear alguns dos servidores do grupo. Provavelmente, isso explica o fato de, dias após o ataque à Kaseya, o REvil ter sumido da dark web. Tudo indica que o grupo decidiu “tirar férias” após ter a sua infraestrutura comprometida.

Quando isso aconteceu, o principal porta-voz do grupo, um membro que se identificava como Unknown (Desconhecido), também deixou de agir. Coube a um membro que se identifica como 0_neday, com apoio de outros integrantes, restaurar um backup que fez os sites do REvil voltarem a funcionar, em setembro.

O que 0_neday não sabia é que esse backup também havia sido comprometido pelas autoridades. Assim, quando os sistemas do REvil foram restaurados, os policiais puderam monitorar o grupo novamente.

Ao perceber o que aconteceu, 0_neday postou uma mensagem em um fórum hacker dizendo que “o servidor foi comprometido e eles estavam procurando por mim”. O aviso foi encerrado com a frase “boa sorte a todos, eu estou fora”.

A Casa Branca e o FBI não comentaram o assunto, mas uma fonte anônima relatou à Reuters que a operação ainda está em andamento. É provável que as autoridades ainda estejam tentando identificar e deter membros do grupo.

De todo modo, a ação já surtiu efeito. O grupo está inoperante. As páginas do REvil na dark web ficaram inacessíveis novamente, entre elas, o Happy Blog, que o grupo usava para divulgar amostras de dados das vítimas.

O Happy Blog já não pode mais acessado (imagem: Emerson Alecrim/Tecnoblog)
O Happy Blog já não pode mais ser acessado (imagem: Emerson Alecrim/Tecnoblog)

Os estragos causados pelo REvil

O REvil sai de cena deixando para trás uma onda de estragos. O grupo foi responsável por grandes ataques em 2021, em várias partes do mundo. Os mais notáveis são estes:

Leia | Qual a origem e história do grupo Anonymous?

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.