A gangue REvil ransomware voltou totalmente e está mais uma vez atacando novas vítimas e publicando arquivos roubados em um site de vazamento de dados.
Desde 2019, a operação de ransomware REvil, também conhecida como Sodinokibi, conduz ataques a organizações em todo o mundo, nas quais exigem resgates de milhões de dólares para receber uma chave de descriptografia e evitar o vazamento de arquivos roubados.
Enquanto em operação, a gangue esteve envolvida em vários ataques contra empresas conhecidas, incluindo JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury e outras.
Ato de desaparecimento de REvil
REvil fechou sua infraestrutura e desapareceu completamente após sua maior manobra – um ataque massivo em 2 de julho que criptografou 60 provedores de serviços gerenciados e mais de 1.500 empresas usando uma vulnerabilidade de dia zero na plataforma de gerenciamento remoto Kaseya VSA.
A REvil então exigiu US $ 50 milhões para um descriptografador universal para todas as vítimas da Kaseya, US $ 5 milhões para a descriptografia de um MSP e um resgate de US $ 44.999 para extensões individuais de criptografia de arquivo nas empresas afetadas.
Esse ataque teve consequências tão abrangentes em todo o mundo que atraiu toda a atenção das autoridades internacionais para o grupo.
Provavelmente sentindo pressão e preocupação em ser apreendida, a gangue REvil fechou repentinamente em 13 de julho de 2021, deixando muitas vítimas em apuros, sem nenhuma maneira de descriptografar seus arquivos.
A última vez que ouvimos falar do REvil, foi que a Kaseya recebeu um descriptografador universal que as vítimas podiam usar para descriptografar arquivos gratuitamente. Não está claro como a Kaseya recebeu o descriptografador, mas afirmou que ele veio de um “terceiro confiável”.
REvil retorna com novos ataques
Após o seu desligamento, pesquisadores e agentes da lei acreditaram que REvil seria rebatizado como uma nova operação de ransomware em algum ponto.
No entanto, para nossa surpresa, a gangue de ransomware REvil voltou à vida esta semana com o mesmo nome.
Em 7 de setembro, quase dois meses após seu desaparecimento, os sites de pagamento / negociação e vazamento de dados do Tor voltaram a funcionar e se tornaram acessíveis. Um dia depois, foi mais uma vez possível fazer login no site de pagamento Tor e negociar com a gangue de ransomware.
Todas as vítimas anteriores tiveram seus cronômetros zerados e parecia que seus pedidos de resgate foram deixados como estavam quando a gangue de ransomware fechou em julho.
No entanto, não havia prova de novos ataques até 9 de setembro, quando alguém carregou uma nova amostra de ransomware REvil compilada em 4 de setembro para o VirusTotal.
Hoje, vimos mais provas de seus novos ataques, já que a gangue de ransomware publicou capturas de tela de dados roubados de uma nova vítima em seu site de vazamento de dados.
Novo representante REvil emerge
No passado, o representante público do REvil era um ator de ameaças conhecido como ‘Desconhecido’ ou ‘UNKN’, que frequentemente postava em fóruns de hackers para recrutar novos afiliados ou postar notícias sobre a operação do ransomware.
Em 9 de setembro, após o retorno da operação de ransomware, um novo representante simplesmente chamado ‘REvil’ começou a postar em fóruns de hackers, alegando que a gangue fechou brevemente após eles terem sido presos e servidores comprometidos.
Esta tradução dessas postagens pode ser lida abaixo:
“Como o Desconhecido (também conhecido como 8800) desapareceu, nós (os codificadores) fizemos backup e desligamos todos os servidores. Achamos que ele foi preso. Tentamos pesquisar, mas sem sucesso. Esperamos – ele não apareceu e restauramos tudo, desde backups.
Depois que o UNKWN desapareceu, o hoster nos informou que os servidores Clearnet foram comprometidos e eles os excluíram imediatamente. Desligamos o servidor principal com as chaves logo em seguida.
O descriptografador Kaseya, que supostamente vazou pela aplicação da lei, na verdade, foi vazado por um de nossos operadores durante a geração do descriptografador. “- REVil
Com base nessas alegações, o descriptografador universal da Kaseya foi obtido pela aplicação da lei depois que eles ganharam acesso a alguns dos servidores do REvil.
No entanto, a BleepingComputer foi informada por várias fontes que o desaparecimento de REvil surpreendeu a aplicação da lei tanto quanto todos os outros.
Uma conversa entre o que se acredita ser um pesquisador de segurança e REvil, pinta uma história diferente, com um operador REvil alegando que eles simplesmente fizeram uma pausa.
Embora possamos nunca saber o verdadeiro motivo do desaparecimento ou como a Kaseya obteve a chave de descriptografia, o mais importante é saber que o REvil está de volta às corporações em todo o mundo.
Com seus afiliados qualificados e capacidade de realizar ataques sofisticados, todos os administradores de rede e profissionais de segurança devem se familiarizar com suas táticas e técnicas.
0 comentário