Grupo de ransomware REvil some repentinamente da dark web sem deixar pistas
Depois de provocar um verdadeiro caos com vários ataques de ransomware, o grupo REvil (ou Sodinokibi) parece ter desaparecido da internet. Desde a última terça-feira (13), todos os vestígios online da gangue sumiram, incluindo dezenas de páginas que os cibercriminosos mantinham na dark web, entre elas uma comunidade usada para extorquir vítimas. Ainda não se sabe se o tal “apagão” foi obra do próprio REvil ou uma ação liderada por autoridades.
O desaparecimento ocorre pouco mais de uma semana após o suposto ataque da gangue que atingiu a Kaseya. O hack afetou cerca de 1.500 empresas no mundo todo que usam um software disponibilizado pela Kaseya. Até ontem, ninguém havia pago os US$ 70 milhões em Bitcoin cobrados pelo REvil para desbloquear os computadores afetados. Com isso, centenas de companhias podem ficar sem uma solução concreta nas próximas semanas.
Embora atualmente não esteja claro por que o grupo desapareceu, existem algumas teorias circulando sobre o que pode ter acontecido. Estas são as principais hipóteses:
- O REvil foi hackeado por uma agência policial russa;
- O REvil foi hackeado por uma agência de aplicação da lei dos Estados Unidos;
- Os hackers decidiram voltar para a clandestinidade.
Vamos começar com a primeira possibilidade. A queda dos sites do REvil ocorreu menos de uma semana depois que, supostamente, o presidente Joe Biden teve uma conversa concisa com o presidente russo, Vladimir Putin, durante a qual pediu ao líder russo que reprimisse hackers de ransomware operando dentro das fronteiras do país. Se Putin atendeu ao apelo de Biden e isso acarretou ao fim das operações do REvil é algo que ainda não sabemos.
Outra teoria é que uma agência dos EUA tenha voltado seus esforços para derrubar a gangue. O New York Times sugere que Biden pode ter “ordenado ao Comando Cibernético dos Estados Unidos, trabalhando com agências de aplicação da lei domésticas, incluindo o FBI, para acabar com o REvil”. Se esse for o caso, o incidente pareceria seguir uma trajetória semelhante àquela envolvendo o DarkSide, grupo de ransomware que sofreu um ataque em sua infraestrutura e depois sumiu da internet. O único vestígio deixado para trás foi uma declaração em um fórum da dark web explicando que a gangue tinha sido alvo de uma “agência de aplicação da lei” e que, portanto, fecharam seus negócios.
No caso do DarkSide, presumia-se que a infraestrutura da gangue tinha sido alvejada por autoridades dos EUA — uma teoria que mais tarde parecia ter sido validada por notícias de uma operação do FBI para rastrear e, em seguida, apreender grande parte do resgate pago aos hackers. De novo: não sabemos se foi isso o que aconteceu ao REvil.
Por fim, também é possível que REvil tenha decidido sair dos holofotes e ido para a clandestinidade. Nos últimos meses, o grupo hacker ganhou notoriedade justamente pelos ataques de ransomware que cobravam milhões de dólares em resgate. Além do golpe à Kaseya, o REvil assumiu a autoria de um ataque recente à JBS, maior fornecedora de carne bovina e suína da América. Na época, os cibercriminosos pediram US$ 11 milhões para devolver o acesso da companhia a seus computadores — e a empresa pagou a quantia.
Pode ser que essa saída do noticiário também tenha sido proposital, mas momentânea. Contudo, não temos como saber com exatidão. Como acontece com tantas outras coisas no mundo do crime cibernético, não há informações suficientes para entender por que esse evento ocorreu. No entanto, se o REvil foi hackeado por uma entidade policial, algo me diz que muito em breve teremos novas atualizações sobre o caso.