Grupo REvil é hackeado por agências que combatem cibercrimes

Entidades de vários países, incluindo os Estados Unidos, fizeram uma força-tarefa para contra-atacar e “hackear os hackers” do grupo cibercriminoso de origem russa REvil. Além de ter seu site (apelidado de Happy Blog) retirado do ar, os servidores que o grupo utilizava foram interceptados.

A informação foi divulgada nesta quinta-feira (21) pela Reuters. Segundo as fontes da agência, a ação conjunta forçou o REvil a ficar offline nesta semana. A gangue é bastante famosa por utilizar ataques com ransomware, tendo atacado este ano empresas de grande porte como a JBS, e a Colonial Pipeline — um dos maiores oleodutos de combustível dos EUA.

“O FBI, em conjunto com o Comando Cibernético [dos EUA], o Serviço Secreto e países com ideias semelhantes, realmente se envolveram em ações significativas contra esses grupos”, afirmou Tom Kellerman, chefe de estratégia de segurança cibernética da empresa VMWare e assessor do Serviço Secreto dos EUA.

“O servidor foi comprometido e eles estavam procurando por mim”, confessou um dos líderes do grupo conhecido como “0_neday” em um fórum de crimes cibernéticos na semana passada. “Boa sorte a todos, estou fora”, acrescentou o hacker.

Ele já havia sido identificado por entidades de combate a crimes pela internet como um dos responsáveis por ajudar o REvil a se estabelecer. O grupo chegou a ficar cerca de dois meses sem agir, até que o Happy Blog voltou ao ar com atualizações das ações criminosas dos hackers.

Hackeando os hackers

Segundo a Reuters, a força-tarefa contra o REvil conseguiu uma chave de descriptografia universal que dispensava a necessidade de pagamento de resgates para o grupo. Essa chave, inclusive, foi motivo de polêmica, já que o FBI a conseguiu e não a liberou para as vítimas de ataques por ransomware.

Na época, a justificativa citava que manter a chave sob segredo poderia ser útil para prender os integrantes do REvil. A senha acabou sendo liberada posteriormente para a empresa Kaseya, uma desenvolvedora de softwares que também foi atacada pelos russos.

Durante todo esse tempo, as autoridades policiais permaneceram observando os movimentos dos cibercriminosos. Os profissionais, então, conseguiram hackear parte dos servidores da gangue e obtiveram um controle maior ainda quando 0_neday usou um backup para restaurar os servidores, no mês passado.

“A gangue de ransomware REvil restaurou a infraestrutura dos backups presumindo que eles não haviam sido comprometidos”, contou Oleg Skulkin, vice-chefe do laboratório forense da empresa de segurança russa Group-IB. “Ironicamente, a tática favorita da própria gangue de comprometer os backups foi voltada contra eles”, argumentou.

A Casa Branca e o FBI não comentaram especificamente sobre o caso. Apesar disso, segundo a agência, um ex-funcionário do governo dos EUA disse que a operação ainda está em andamento.