FBI invade e derruba servidores do grupo de ransomware REvil

O grupo hacker REvil, conhecido por grandes ataques de ransomware (JBS, Colonial Pipeline e Kaseya), teve seu site e portal de pagamentos Tor sequestrados.



VEJA TAMBÉM: CISA compartilha orientações sobre como evitar sequestro de dados via ransomware


Segundo a Reuters, uma operação internacional comandada pelo FBI localizou e derrubou os servidores do grupo de ransomware REvil (ou Sodinokibi).


A notícia chega poucas semanas depois que o presidente Biden anunciou que os EUA reunirão mais de 30 países para combater e mitigar ameaças de ransomware. Tom Kellermann, chefe de estratégia de segurança cibernética da VMWare e consultor do Serviço Secreto dos Estados Unidos sobre crimes cibernéticos investigações disse à Reuters:


O FBI, em conjunto com o Comando Cibernético, o Serviço Secreto e países com ideias semelhantes, realmente se envolveu em ações disruptivas contra esses grupos. Revil estava no topo da lista.

Kellerman acrescentou que a polícia impediu o grupo de lançar novos ataques contra outras empresas nos últimos meses.


Segundo o site The Record, um líder do REvil, identificado online como "0_neday", disse que os servidores do REvil foram hackeados por um agente não identificado.


O servidor foi comprometido e eles estavam procurando por mim. Boa sorte a todos; estou indo.
Para ser mais preciso, eles deletaram o caminho para o meu serviço oculto no arquivo torrc e aumentaram o seu próprio para que eu fosse lá.

VEJA TAMBÉM: Google lança relatório de ransomware baseado na análise de 80 milhões de amostras


Os policiais foram capazes de invadir a infraestrutura de rede de computadores REvil e obter o controle de alguns servidores antes que o grupo ficasse offline em julho. Quando reapareceu, o grupo reiniciou sem saber alguns dos servidores que já eram controlados pelas autoridades policiais. Oleg Skulkin, vice-chefe do laboratório forense da empresa de segurança Group-IB, disse à Reuters:


A grupo de ransomware REvil restaurou a infraestrutura dos backups, supondo que eles não tivessem sido comprometidos.
Ironicamente, a tática favorita do grupo de comprometer os backups foi utilizada contra eles.

Paralelamente a essa ação, a empresa de análise de blockchain Elliptic revelou que US $ 7 milhões em bitcoin conseguidos pelo grupo através do ransomware DarkSide foram sendo transferidos por uma série de novas carteiras para tornar o dinheiro mais difícil de rastrear.



Os ataques de ransomware estão cada vez mais bem-sucedidos e lucrativos e tem sido caracterizados por complexas parcerias, com sindicatos de ransomware-as-a-service (RaaS), como REvil e DarkSide, alugando seu malware de criptografia de arquivo para afiliados recrutados por meio de fóruns online e canais do Telegram, que lançam ataques contra redes corporativas em troca de uma porcentagem do resgate pago.


Este modelo permite que os operadores de ransomware melhorem o produto, enquanto os afiliados podem se concentrar em espalhar o ransomware e infectar o maior número de vítimas possível para criar um fluxo de pagamentos de resgate.


Fontes: The Hacker News e Reuters

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.




371 visualizações

Posts recentes

Ver tudo

Newsletter

Confira notícias, informações e tendências do setor de tecnologia da informação. 

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos