REvil ransomware

A gangue REvil ransomware voltou totalmente e está mais uma vez atacando novas vítimas e publicando arquivos roubados em um site de vazamento de dados.

Desde 2019, a operação de ransomware REvil, também conhecida como Sodinokibi, conduz ataques a organizações em todo o mundo, nas quais exigem resgates de milhões de dólares para receber uma chave de descriptografia e evitar o vazamento de arquivos roubados.

Enquanto em operação, a gangue esteve envolvida em vários ataques contra empresas conhecidas, incluindo JBS, Coop, Travelex, GSMLaw, Kenneth Cole, Grupo Fleury e outras.

Ato de desaparecimento de REvil

REvil fechou sua infraestrutura e desapareceu completamente após sua maior manobra – um ataque massivo em 2 de julho que criptografou 60 provedores de serviços gerenciados e mais de 1.500 empresas usando uma vulnerabilidade de dia zero na plataforma de gerenciamento remoto Kaseya VSA.

A REvil então exigiu US $ 50 milhões para um descriptografador universal para todas as vítimas da Kaseya, US $ 5 milhões para a descriptografia de um MSP e um resgate de US $ 44.999 para extensões individuais de criptografia de arquivo nas empresas afetadas.

REvil ransom demand for an encrypted MSP

Esse ataque teve consequências tão abrangentes em todo o mundo que atraiu toda a atenção das autoridades internacionais para o grupo.

Provavelmente sentindo pressão e preocupação em ser apreendida, a gangue REvil fechou repentinamente em 13 de julho de 2021, deixando muitas vítimas em apuros, sem nenhuma maneira de descriptografar seus arquivos.

A última vez que ouvimos falar do REvil, foi que a Kaseya recebeu um descriptografador universal que as vítimas podiam usar para descriptografar arquivos gratuitamente. Não está claro como a Kaseya recebeu o descriptografador, mas afirmou que ele veio de um “terceiro confiável”.

REvil retorna com novos ataques

Após o seu desligamento, pesquisadores e agentes da lei acreditaram que REvil seria rebatizado como uma nova operação de ransomware em algum ponto.

No entanto, para nossa surpresa, a gangue de ransomware REvil voltou à vida esta semana com o mesmo nome.

Em 7 de setembro, quase dois meses após seu desaparecimento, os sites de pagamento / negociação e vazamento de dados do Tor voltaram a funcionar e se tornaram acessíveis. Um dia depois, foi mais uma vez possível fazer login no site de pagamento Tor e negociar com a gangue de ransomware.

Todas as vítimas anteriores tiveram seus cronômetros zerados e parecia que seus pedidos de resgate foram deixados como estavam quando a gangue de ransomware fechou em julho.

No entanto, não havia prova de novos ataques até 9 de setembro, quando alguém carregou uma nova amostra de ransomware REvil compilada em 4 de setembro para o VirusTotal.

Hoje, vimos mais provas de seus novos ataques, já que a gangue de ransomware publicou capturas de tela de dados roubados de uma nova vítima em seu site de vazamento de dados.

Novo representante REvil emerge

No passado, o representante público do REvil era um ator de ameaças conhecido como ‘Desconhecido’ ou ‘UNKN’, que frequentemente postava em fóruns de hackers para recrutar novos afiliados ou postar notícias sobre a operação do ransomware.

Em 9 de setembro, após o retorno da operação de ransomware, um novo representante simplesmente chamado ‘REvil’ começou a postar em fóruns de hackers, alegando que a gangue fechou brevemente após eles terem sido presos e servidores comprometidos.

Esta tradução dessas postagens pode ser lida abaixo:

“Como o Desconhecido (também conhecido como 8800) desapareceu, nós (os codificadores) fizemos backup e desligamos todos os servidores. Achamos que ele foi preso. Tentamos pesquisar, mas sem sucesso. Esperamos – ele não apareceu e restauramos tudo, desde backups.

Depois que o UNKWN desapareceu, o hoster nos informou que os servidores Clearnet foram comprometidos e eles os excluíram imediatamente. Desligamos o servidor principal com as chaves logo em seguida.

O descriptografador Kaseya, que supostamente vazou pela aplicação da lei, na verdade, foi vazado por um de nossos operadores durante a geração do descriptografador. “- REVil

Com base nessas alegações, o descriptografador universal da Kaseya foi obtido pela aplicação da lei depois que eles ganharam acesso a alguns dos servidores do REvil.

No entanto, a BleepingComputer foi informada por várias fontes que o desaparecimento de REvil surpreendeu a aplicação da lei tanto quanto todos os outros.

Uma conversa entre o que se acredita ser um pesquisador de segurança e REvil, pinta uma história diferente, com um operador REvil alegando que eles simplesmente fizeram uma pausa.

Embora possamos nunca saber o verdadeiro motivo do desaparecimento ou como a Kaseya obteve a chave de descriptografia, o mais importante é saber que o REvil está de volta às corporações em todo o mundo.

Com seus afiliados qualificados e capacidade de realizar ataques sofisticados, todos os administradores de rede e profissionais de segurança devem se familiarizar com suas táticas e técnicas.


0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *