Quem é e como opera a gangue de ransomware REvil

A Unit 42, unidade de pesquisa da Palo Alto Networks, publicou uma análise sobre o REvil, a gangue de ransomware por trás dos ataques Kaseya VSA direcionados a milhares de clientes da empresa de software. Trata-se de um dos grupos mais prolíficos que o grupo de consultoria em segurança cibernética da Palo Alto Networks encontrou em 2021.

Segundo o relatório, após sequestrar o sistema, o pagamento médio exigido pelo grupo este ano foi de cerca de US$ 2,25 milhões. O maior resgate conhecido foi de US$ 11 milhões após um ataque de alto perfil à maior empresa de frigoríficos do mundo, que fechou fábricas de processamento. O mesmo grupo pediu US$ 5 milhões para uma empresa de diagnósticos médicos no Brasil.

O grupo exige grandes resgates, mas está aberto a negociar pagamentos menores. Após o ataque de sexta-feira (2/7) ao Kaseya VSA, ele exigiu US$ 70 milhões por uma ferramenta para descriptografar todos os arquivos afetados. Na segunda-feira (5/4), reduziu a demanda para US$ 50 milhões. Quando as vítimas não conseguem entrar em negociações ou pagar, o REvil publica dados roubados em seu site de vazamento, que chama de “Happy Blog”.

Embora REvil (que também é conhecido como Sodinokibi) possa parecer um novo ator no mundo do crime cibernético, a Unit 42 monitora os agentes de ameaças vinculados a esse grupo há três anos. A Palo Alto Networks identificou o grupo pela primeira vez em 2018, quando trabalhava com um grupo conhecido como GandCrab. Na época, eles se concentravam principalmente na distribuição de ransomware por meio de malvertising e kits de exploração, que são anúncios maliciosos e ferramentas de malware que os hackers usam para infectar as vítimas por meio de downloads drive-by quando eles visitam um site malicioso.

Esse grupo se transformou no REvil, cresceu e ganhou a reputação de vazar conjuntos de dados massivos e exigir resgates multimilionários. Agora está entre um grupo de elite de gangues de extorsão cibernética responsável pelo aumento de ataques debilitantes que tornaram o ransomware uma das ameaças de segurança mais urgentes para empresas e nações em todo o mundo.

No início deste ano, a Unit 42 lançou uma avaliação de ameaça vinculando REvil/Sodinokibi a GrandCrab. As percepções coletadas dos consultores de segurança cibernética da Unit 42 que trabalharam em uma dúzia de casos de ransomware REvil nos primeiros seis meses de 2021 foram reunidas no relatório. A Palo Alto Networks espera que esses relatos das táticas do REvil e as medidas tomadas para combater essa ameaça ajudem as organizações a se defender melhor contra futuros ataques de ransomware e encoraja as empresas a revisar o Relatório de Ameaças de Ransomware da Unit 42 de 2021 para obter mais informações sobre REvil e outros operadores de ransomware.

Serviço
www.paloaltonetworks.com