Entidades de vários países, incluindo os Estados Unidos, fizeram uma força-tarefa para contra-atacar e “hackear os hackers” do grupo cibercriminoso de origem russa REvil. Além de ter seu site (apelidado de Happy Blog) retirado do ar, os servidores que o grupo utilizava foram interceptados.
A informação foi divulgada nesta quinta-feira (21) pela Reuters. Segundo as fontes da agência, a ação conjunta forçou o REvil a ficar offline nesta semana. A gangue é bastante famosa por utilizar ataques com ransomware, tendo atacado este ano empresas de grande porte como a JBS, e a Colonial Pipeline — um dos maiores oleodutos de combustível dos EUA.
“O FBI, em conjunto com o Comando Cibernético [dos EUA], o Serviço Secreto e países com ideias semelhantes, realmente se envolveram em ações significativas contra esses grupos”, afirmou Tom Kellerman, chefe de estratégia de segurança cibernética da empresa VMWare e assessor do Serviço Secreto dos EUA.
)
“O servidor foi comprometido e eles estavam procurando por mim”, confessou um dos líderes do grupo conhecido como “0_neday” em um fórum de crimes cibernéticos na semana passada. “Boa sorte a todos, estou fora”, acrescentou o hacker.
Ele já havia sido identificado por entidades de combate a crimes pela internet como um dos responsáveis por ajudar o REvil a se estabelecer. O grupo chegou a ficar cerca de dois meses sem agir, até que o Happy Blog voltou ao ar com atualizações das ações criminosas dos hackers.
Hackeando os hackers
Segundo a Reuters, a força-tarefa contra o REvil conseguiu uma chave de descriptografia universal que dispensava a necessidade de pagamento de resgates para o grupo. Essa chave, inclusive, foi motivo de polêmica, já que o FBI a conseguiu e não a liberou para as vítimas de ataques por ransomware.
Na época, a justificativa citava que manter a chave sob segredo poderia ser útil para prender os integrantes do REvil. A senha acabou sendo liberada posteriormente para a empresa Kaseya, uma desenvolvedora de softwares que também foi atacada pelos russos.
)
Durante todo esse tempo, as autoridades policiais permaneceram observando os movimentos dos cibercriminosos. Os profissionais, então, conseguiram hackear parte dos servidores da gangue e obtiveram um controle maior ainda quando 0_neday usou um backup para restaurar os servidores, no mês passado.
“A gangue de ransomware REvil restaurou a infraestrutura dos backups presumindo que eles não haviam sido comprometidos”, contou Oleg Skulkin, vice-chefe do laboratório forense da empresa de segurança russa Group-IB. “Ironicamente, a tática favorita da própria gangue de comprometer os backups foi voltada contra eles”, argumentou.
A Casa Branca e o FBI não comentaram especificamente sobre o caso. Apesar disso, segundo a agência, um ex-funcionário do governo dos EUA disse que a operação ainda está em andamento.
)
)
)
)
)
)
)
)
)
)
)
)
)
