A Reuters relata que o recente encerramento do grupo de hackers REvil foi devido ao hack de sites de hackers por agências de aplicação da lei.
Deixe-me lembrar que no início desta semana as operações do ransomware REvil foram novamente suspensas, como uma pessoa desconhecida invadiu o site do grupo, através do qual hackers aceitaram pagamentos de vítimas e “vazou” dados roubados de empresas. Um porta-voz do REvil conhecido como 0_neday postou uma mensagem no fórum de hackers XSS informando que alguém havia sequestrado os domínios do invasor.
Também foi relatado que uma pessoa desconhecida sequestrou os domínios cebola do hacker usando as mesmas chaves privadas dos sites REvil. Ao mesmo tempo, a pessoa desconhecida parecia ter acesso às cópias de backup dos sites do grupo de hackers, e 0_neday afirmou que o servidor de agrupamento foi comprometido, e o invasor desconhecido tinha como alvo o REvil.
Agora, Reuters’ fontes próprias (três especialistas em segurança cibernética do setor privado e um ex-funcionário) dizem que a infraestrutura do grupo foi desligada como resultado de uma operação de aplicação da lei realizada em vários países ao redor do mundo. Em particular, uma pessoa familiarizada com os acontecimentos disse à agência de notícias que um parceiro estrangeiro do governo dos EUA realizou uma operação de hacking para se infiltrar na infraestrutura do REvil. Um ex-funcionário dos EUA que falou aos repórteres sob condição de anonimato disse que a operação ainda está em andamento.
O chefe de estratégia de segurança cibernética da VMWare, Tom Kellerman, que também é consultor de crimes cibernéticos do Serviço Secreto dos EUA, disse à mídia o seguinte:
Muitos acreditam que desta vez o REvil cessou completamente o seu trabalho. O fato é que recentemente o ransomware já “desapareceu do radar” após ataques escandalosos a clientes do conhecido provedor de soluções MSP Caixa e JBS, o maior fornecedor mundial de carne bovina e de aves, bem como o segundo maior produtor de carne suína.
Embora REvil eventualmente retornou alguns meses depois, alguns cibercriminosos e especialistas em segurança da informação acreditavam que o FBI ou outras agências de aplicação da lei obtiveram acesso aos servidores do grupo e os controlaram desde o reinício. Afinal, enquanto REvil estava inativo, Caixa de alguma forma obtido uma chave universal para descriptografar seus clientes’ dados. Então, muitos acreditavam que os policiais russos receberam a chave de descriptografia dos próprios invasores e a entregaram ao FBI como um gesto de boa vontade.
Além disso, no passado, um membro do grupo conhecido como Unknown ou UNKN postou anúncios ou as últimas notícias sobre as operações do REvil em fóruns de hackers. Depois de reiniciar as operações do ransomware, ele desapareceu, e os próprios hackers escreveram que Unknown provavelmente foi preso. O que aconteceu com ele ainda não se sabe ao certo.
