Gangues do REvil colocam o Brasil no top 3 de ataques, mas ‘somem’ da Internet
A infraestrutura e os sites para a operação do ransomware REvil estão fora do ar desde a noite de segunda-feira, 12. As gangues do REvil, também conhecido como Sodinokibi, operam por meio de vários sites na dark web usados para negociar resgate, vazar dados de empresas que se negam a pagar resgate e como infraestrutura de back-end.
A notícia é boa para o Brasil, uma vez que o país, de acordo com dados da Check Point, está no top 3 dos alvos da gangue, ao lado dos Estados Unidos e da Índia. Tanto que nos últimos dois meses, os ataques no país cresceram 6%. Desde janeiro, esse percentual sobe para 92%.
O mercado apura que o site decodificador Re clear, que notifica a empresa vítima de ataque do ransomware que paga resgate que o procedimento de descriptografia for concluído, não pode mais ser usado por consultas DNS, possivelmente indicando que os registros DNS para o domínio foram retirados do ar ou que a infraestrutura DNS de back-end foi desligada.
Embora não seja incomum que sites do REvil percam a conectividade por algum tempo, todos saírem do ar simultaneamente é incomum. Na tarde desta terça-feira, 13, o operador do ransomware LockBit postou no fórum de hackers XSS de língua russa que há rumores de que a gangue REvil desligou seus servidores após saber de uma intimação do governo.
Para o diretor regional da Check Point Software Brasil, Claudio Bannwart, uma possível explicação para o ocorrido é que tenha havido uma derrubada silenciosa, semelhante ao que aconteceu com o DarkSide, quando os hackers foram ‘discretamente’ derrubados pelas autoridades competentes. Outra possibilidade, segundo ele, é o grupo de ransomware ter decidido se manter na discrição, dada toda a atenção que receberam ultimamente com os ataques à Colonial Pipeline, Kaseya e JBS.
“É possível que o Revil tenha se ‘aposentado’, pelo menos temporariamente, como sucedeu há alguns anos com o ransomware GandCrab. Entretanto, não tiraremos conclusões precipitadas, pois o REvil é, sem dúvida, um dos grupos de cibercriminosos de ransomware mais implacáveis e criativos já vistos”, alerta Bannwart.
As últimas estatísticas da divisão Check Point Research (antes desse acontecimento sobre REvil):
Nos últimos dois meses (maio e junho), a Check Point Research (CPR) registou 15 ciberataques do REvil por semana;
De acordo com a CPR, os ataques globais de ransomware aumentaram 93% nos últimos 12 meses;
