Na Rússia, autoridades policiais de nível federal, o FSB, declararam nessa sexta-feira dia 14, que desmantelou o proeminente grupo de hackers REvil, grupo que realizou um ataque de alto nível no ano passado à empresa de software de TI Kaseya, após um pedido formal de Washington.
A cibersegurança foi um dos principais temas da agenda de uma reunião de cúpula entre o presidente russo, Vladimir Putin, e o presidente dos EUA, Joe Biden, em junho passado.
O Serviço Federal de Segurança da Rússia (FSB) disse em um comunicado que “suprimiu as atividades ilegais” de membros do grupo durante buscas e apreensões em 25 endereços que detiveram 14 pessoas em prisão preventiva para investigações.
As buscas foram realizadas após um “apelo relevante das autoridades norte-americanas”.
Os membros do grupo “desenvolveram malware, organizaram o desvio de fundos das contas bancárias de cidadãos estrangeiros”, disse o FSB.
O equivalente a 426 milhões de rublos (US$ 5,5 milhões ou 4,8 milhões de euros) e 20 carros de luxo foram apreendidos na operação, acrescentou o comunicado.
Russia's FSB says it has arrested members of the REvil ransomware gang (best known for the JBS and Kaseya hacks) and shut down the group's infrastructure: https://t.co/ofD4Qb0O9p
But Russia reportedly won't turn over the Russians among them to the U.S.: https://t.co/lwqGcDLHws
— Eric Geller (@ericgeller) January 14, 2022
Durante um telefonema em julho, Biden disse a Putin para “tomar medidas” contra grupos de ransomware que operam na Rússia, alertando que, caso contrário, Washington tomará “todas as ações necessárias” para defender os americanos.
O ataque sem precedentes contra a empresa de software norte-americana Kaseya afetou cerca de 1.500 empresas.
O ataque Kaseya, que foi relatado em 2 de julho, fechou uma grande rede de supermercados sueca e ricocheteou em todo o mundo, impactando empresas em pelo menos 17 países, de farmácias a postos de gasolina, além de dezenas de jardins de infância da Nova Zelândia.
Logo após o ataque, a página “dark web” do REvil ficou offline, provocando especulações sobre se a mudança foi resultado de uma ação liderada pelo governo.
Sobre o REvil
Seu nome é uma abreviação, resultado da contração de Ransomware Evil. O modelo de negócios é RaaS ( Ransomware como serviço ou ransomware alugado).
Ele apareceu pela primeira vez em abril de 2019. Suspeita-se que ele seja operado pelo ex-grupo GrandCrab, cujo desaparecimento coincide com esta data. Segundo o IBM Security X-Force, no ano de 2020, o REvil/Sodinokibi é o ransomware mais envolvido em ataques 1 . Estes não consistem apenas em criptografar os dados que a vítima só pode recuperar por um resgate, mas também os cibercriminosos chantageiam a distribuição desses dados.
Entre as vítimas dessas extorsões estão o grupo farmacêutico Pierre Fabre 2 , possivelmente a empresa de computadores taiwanesa Acer 3 e a fabricante de laptops Quanta . Este último conta entre seus clientes a empresa Apple , que as operadoras estão tentando extorquir.
O ataque ao grupo de alimentos JBS em 2021 foi atribuído pelo FBI ao grupo russo REvil/Sodinokibi.
No início de julho de 2021, o ataque à Kaseya, atribuído ao grupo REvil, foi descrito como particularmente sofisticado.
O principal vetor de infecção é um e-mail de phishing que convida você a baixar um arquivo compactado 7 , mas outras técnicas foram usadas (como em junho de 2021 uma vulnerabilidade de software da empresa Kaseya 8 ).
Vários elementos indicam uma origem russa desse malware: o programa é instruído a suspender sua atividade se detectar que o idioma do sistema é russo, e está à venda em 10 fóruns de língua russa .
- Com informações The Moscow Times, TASS, France Inter e Agence France Press, via redação Orbis Defense Europe/Genebra.