{"id":18925,"date":"2021-08-08T13:53:16","date_gmt":"2021-08-08T16:53:16","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18925"},"modified":"2021-08-08T13:53:18","modified_gmt":"2021-08-08T16:53:18","slug":"a-gangue-do-revil-ransomware-desaparece-misteriosamente-apos-ataques-de-alto-nivel","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/08\/exploits\/a-gangue-do-revil-ransomware-desaparece-misteriosamente-apos-ataques-de-alto-nivel\/","title":{"rendered":"A gangue do REvil Ransomware desaparece misteriosamente ap\u00f3s ataques de alto n\u00edvel"},"content":{"rendered":"\n

O REvil, o infame cartel de ransomware por tr\u00e1s de alguns dos maiores ataques cibern\u00e9ticos contra JBS e Kaseya, desapareceu misteriosamente da dark web, levando a especula\u00e7\u00f5es de que a empresa criminosa pode ter sido derrubada.<\/span><\/span><\/p>\n

\u00a0<\/p>\n

V\u00e1rios sites darknet e clearnet mantidos pelo sindicato do crime cibern\u00e9tico vinculado \u00e0 R\u00fassia, incluindo vazamento de dados, extors\u00e3o e portais de pagamento, permaneceram inacess\u00edveis, exibindo uma mensagem de erro “Onionsite not found”. <\/span><\/p>\n

\u00a0<\/p>\n

\"REvil<\/p>\n

A <\/span>infraestrutura de rede Tor<\/span> do grupo na dark web consiste em um blog de vazamento de dados e 22 sites de hospedagem de dados. N\u00e3o est\u00e1 imediatamente claro o que levou a infraestrutura a ser desativada.<\/span><\/p>\n

\u00a0<\/p>\n

O REvil \u00e9 um dos grupos de ransomware-as-a-service (RaaS) mais prol\u00edficos que apareceu pela primeira vez no cen\u00e1rio de amea\u00e7as em abril de 2019. \u00c9 uma evolu\u00e7\u00e3o do ransomware <\/span>GandCrab<\/span> , que atingiu os mercados clandestinos no in\u00edcio de 2018.<\/span><\/p>\n

\u00a0<\/p>\n

\u201cSe o REvil foi permanentemente interrompido, isso marcar\u00e1 o fim de um grupo que foi respons\u00e1vel por mais de 360 \u200b\u200bataques nos setores p\u00fablico e privado dos Estados Unidos somente neste ano\u201d, <\/span>comunicou<\/span> Brett Callow da Emsisoft .<\/span><\/p>\n

\u00a0<\/div>\n

O s\u00fabito desenvolvimento vem logo ap\u00f3s um <\/span>ataque de ransomware em<\/span> larga escala \u00e0 cadeia de suprimentos direcionado ao provedor de servi\u00e7os de tecnologia Kaseya, pelo qual o REvil (tamb\u00e9m conhecido como Sodinokibi) assumiu a responsabilidade e exigiu um resgate de US $70 milh\u00f5es para desbloquear o acesso a sistemas criptografados em troca de um chave de descriptografia universal que desbloquearia todos os dados das v\u00edtimas.<\/span><\/p>\n

\u00a0<\/p>\n

O desastroso ataque viu a gangue de ransomware criptografar aproximadamente 60 provedores de servi\u00e7os gerenciados (MSPs) e mais de 1.500 empresas downstream usando uma vulnerabilidade de zero-day no software de gerenciamento remoto Kaseya VSA. No final de maio, REvil tamb\u00e9m planejou o ataque ao maior produtor de carne do mundo, JBS, que acabou <\/span>pagando\u00a0 $11 milh\u00f5es<\/span> aos extorsion\u00e1rios para se recuperarem do incidente.<\/span><\/p>\n

\u00a0<\/p>\n

\"\"<\/div>\n

A interrup\u00e7\u00e3o tamb\u00e9m coincide com o <\/span>telefonema<\/span> do presidente dos EUA, Joe Biden, com o presidente russo, Vladimir Putin, na semana passada, pressionando este \u00faltimo a tomar medidas para interromper grupos de ransomware que operam no pa\u00eds, enquanto alerta sobre uma a\u00e7\u00e3o retaliat\u00f3ria para defender a infraestrutura cr\u00edtica.<\/span><\/p>\n

\u00a0<\/p>\n

“A situa\u00e7\u00e3o ainda est\u00e1 se desenrolando, mas as evid\u00eancias sugerem que o REvil sofreu uma remo\u00e7\u00e3o planejada e simult\u00e2nea de sua infraestrutura, seja pelos pr\u00f3prios operadores ou por meio de a\u00e7\u00f5es da ind\u00fastria ou de aplica\u00e7\u00e3o da lei”, disse John Hultquist da FireEye Mandiant <\/span>\u00e0<\/span> CNBC.<\/span><\/p>\n

\u00a0<\/p>\n

Parece que o Happy Blog do REvil foi retirado do ar por volta da 1h nesta ter\u00e7a-feira, com o vx-underground <\/span>observando<\/span> que o representante p\u00fablico do grupo, Unknown, n\u00e3o postou em f\u00f3runs de hackers populares como Exploit e XSS desde 8 de julho.<\/span><\/p>\n

\u00a0<\/p>\n

Posteriormente, um representante do ransomware LockBit <\/span>postou<\/span> no <\/span>f\u00f3rum de hackers de l\u00edngua russa XSS<\/span> que a infraestrutura de ataque do REvil recebeu uma solicita\u00e7\u00e3o legal do governo, fazendo com que os servidores fossem desmontados. “REvil foi banido do XSS”, vx-underground <\/span>acrescentou mais tarde<\/span> .<\/span><\/p>\n

\u00a0<\/p>\n

N\u00e3o \u00e9 incomum para grupos de ransomware irem para o subsolo ap\u00f3s incidentes altamente divulgados. Depois que a gangue DarkSide atacou Colonial Pipeline em maio, as operadoras <\/span>anunciaram<\/span> planos de encerrar seu programa de afiliados RaaS para sempre, alegando que seus servidores foram apreendidos por uma ag\u00eancia de aplica\u00e7\u00e3o da lei desconhecida, levantando quest\u00f5es sobre se o grupo realmente se aposentou ou mudou de marca sob um novo nome.<\/span><\/p>\n

\u00a0<\/div>\n

Essa teoria foi validada algumas semanas depois, quando o Departamento de Justi\u00e7a dos EUA <\/span>revelou<\/span> no m\u00eas passado que foi capaz de recuperar a maior parte do dinheiro pago pela Colonial Pipeline ao grupo DarkSide por meio de uma an\u00e1lise das trilhas de bitcoin.<\/span><\/p>\n

\u00a0<\/p>\n

O fechamento inexplicado de REvil, de forma semelhante, pode muito bem ser um caso de aposentadoria planejada, ou um rev\u00e9s tempor\u00e1rio, for\u00e7ando-o a aparentemente se desfazer apenas para eventualmente se recompor sob uma nova identidade de modo a atrair menos aten\u00e7\u00e3o, ou uma consequ\u00eancia de um aumento internacional escrut\u00ednio na esteira da crise global de ransomware.<\/span><\/p>\n

\u00a0<\/p>\n

Se realmente for descoberto que o grupo encerrou permanentemente as opera\u00e7\u00f5es, a mudan\u00e7a est\u00e1 fadada a deixar os alvos do grupo em apuros, sem meios vi\u00e1veis \u200b\u200bpara negociar resgates e obter as chaves de descriptografia necess\u00e1rias para recuperar o controle de seus sistemas, portanto, permanentemente bloqueando-os de seus dados.<\/span><\/p>\n

\u00a0<\/p>\n

\n

“Eu n\u00e3o sei o que isso significa, mas de qualquer maneira, estou feliz!” comunicou Katie Nickels, diretora de intelig\u00eancia da Red Canary. “Se for uma derrubada do governo – incr\u00edvel, eles est\u00e3o agindo. Se os atores voluntariamente silenciarem, excelente, talvez eles estejam com medo.”<\/span><\/p>\n<\/div>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de https:\/\/thehackernews.com\/2021\/07\/revil-ransomware-gang-mysteriously.html<\/a>\u00a0\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

O REvil, o infame cartel de ransomware por tr\u00e1s de alguns dos maiores ataques cibern\u00e9ticos contra JBS e Kaseya, desapareceu misteriosamente da dark web, levando a especula\u00e7\u00f5es de que a empresa criminosa pode ter sido derrubada. \u00a0 V\u00e1rios sites darknet e clearnet mantidos pelo sindicato do crime cibern\u00e9tico vinculado \u00e0 R\u00fassia, incluindo vazamento de dados, […]<\/p>\n","protected":false},"author":2,"featured_media":18927,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-18925","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18925"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18925\/revisions"}],"predecessor-version":[{"id":18930,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18925\/revisions\/18930"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18927"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}