PUBLICIDADE

Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI

Operação internacional liderada pelo FBI derrubou o REvil, um dos mais perigosos grupos de ransomware da atualidade

22 out 2021 15h14
ver comentários
Publicidade

Nesta semana, um dos grupos de ransomware mais perigosos dos últimos tempos deixou de ser uma ameaça. Uma operação liderada pelo FBI e realizada por autoridades de vários países fez a gangue REvil ser desmantelada. Como? Ironicamente, os servidores do grupo foram hackeados.

Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)
Cadeado sobre notebook (imagem ilustrativa por: TheDigitalWay/Pixabay)
Foto: Tecnoblog

A informação vem da Reuters, que ouviu especialistas que acompanham a operação de perto. Entre eles está Tom Kellermann, chefe segurança cibernética da VMWare e assessor do Serviço Secreto dos Estados Unidos.

Como o REvil foi derrubado

Para entender como essa coalizão, por assim dizer, conseguiu tirar o REvil de cena, precisamos voltar ao mês de julho, quando o grupo executou um dos maiores ataques de ransomware de que se tem notícia.

Na ocasião, o REvil conseguiu infectar um software da empresa de TI Kaseya. Esse software foi distribuído posteriormente como uma atualização para os clientes da companhia. Resultado: centenas ou, talvez, milhares de organizações tiveram sistemas comprometidos pelo ransomware.

O FBI agiu rápido e conseguiu obter uma chave capaz de descriptografar todos os sistemas afetados. Mas essa chave não foi enviada às vítimas prontamente. O FBI a reteve durante algumas semanas e usou esse período para, silenciosamente, rastrear o REvil.

Com essa ação, autoridades policiais e especialistas em segurança puderam hackear alguns dos servidores do grupo. Provavelmente, isso explica o fato de, dias após o ataque à Kaseya, o REvil ter sumido da dark web. Tudo indica que o grupo decidiu "tirar férias" após ter a sua infraestrutura comprometida.

Quando isso aconteceu, o principal porta-voz do grupo, um membro que se identificava como Unknown (Desconhecido), também deixou de agir. Coube a um membro que se identifica como 0_neday, com apoio de outros integrantes, restaurar um backup que fez os sites do REvil voltarem a funcionar, em setembro.

O que 0_neday não sabia é que esse backup também havia sido comprometido pelas autoridades. Assim, quando os sistemas do REvil foram restaurados, os policiais puderam monitorar o grupo novamente.

Ao perceber o que aconteceu, 0_neday postou uma mensagem em um fórum hacker dizendo que "o servidor foi comprometido e eles estavam procurando por mim". O aviso foi encerrado com a frase "boa sorte a todos, eu estou fora".

A Casa Branca e o FBI não comentaram o assunto, mas uma fonte anônima relatou à Reuters que a operação ainda está em andamento. É provável que as autoridades ainda estejam tentando identificar e deter membros do grupo.

De todo modo, a ação já surtiu efeito. O grupo está inoperante. As páginas do REvil na dark web ficaram inacessíveis novamente, entre elas, o Happy Blog, que o grupo usava para divulgar amostras de dados das vítimas.

O Happy Blog já não pode mais ser acessado
O Happy Blog já não pode mais ser acessado
Foto: Emerson Alecrim/Tecnoblog / Tecnoblog

Os estragos causados pelo REvil

O REvil sai de cena deixando para trás uma onda de estragos. O grupo foi responsável por grandes ataques em 2021, em várias partes do mundo. Os mais notáveis são estes:

  • Quanta Computer: parceira de produção da Apple, a empresa teve esquemas de design de MacBooks Pro roubados pelo grupo;
  • Colonial Pipeline: responsável por fornecer combustíveis na costa leste dos Estados Unidos, a empresa pagou US$ 5 milhões como resgate ao REvil para restaurar as suas operações; o ataque causou escassez de gás na região;
  • JBS: o grupo brasileiro de alimentos teve as suas operações paralisadas na Austrália, Canadá e Estados Unidos; para restaurar seus sistemas, a companhia pagou um resgate de US$ 11 milhões ao REvil;
  • Kaseya: o REvil infectou uma atualização do sistema Kaseya VSA, que posteriormente foi distribuída a clientes. Centenas ou milhares de empresas foram infectadas na sequência.

Grupo hacker REvil que invadiu parceira da Apple é hackeado pelo FBI

Tecnoblog
Publicidade
Publicidade