Geral 4min de Leitura - 14 de setembro de 2021

Grupo de ransomware REvil está de volta

homem capuz ransomware

This post is also available in: Português

Os operadores do ransomware REvil, grupo de origem russa que se especializou em ataques de ransomware de larga escala, ressurgiu depois de supostamente ter encerrado suas atividades após o ataque à Kaseya, que fez milhares de vítimas em 4 de julho.

Alguns blogs e perfis ligados ao REvil, que estavam há dois meses fora do ar ou sem atualizações, voltaram a dar sinais de vida. Um desses domínios é o site que hospedava os vazamentos de dados da equipe, o Happy Blog. Ele está novamente no ar, mas a última publicação foi em 13 de julho de 2021.

Pesquisadores de segurança cibernética da Recorded Future e Emsisoft confirmaram que grande parte da infraestrutura do grupo estava online novamente.

Allan Liska, especialista em ransomware, disse ao site ZDNet que a maioria das pessoas esperava que o REvil voltasse, mas com um nome diferente e uma nova variante de ransomware.

Segundo Liska:

“As coisas definitivamente ficaram quentes para eles por um tempo, então eles precisaram deixar a poeira baixar e as investigações esfriarem. O problema é que se eles realmente são o mesmo grupo, utilizando a mesma infraestrutura, estarão na mira de literalmente todas as autoridades dos países onde o grupo atuou nos últimos meses (exceto da Rússia)”.

Grupo de sucesso

No mês passado, um relatório da empresa de segurança BlackFog, que fala sobre ataques de ransomware, descobriu que o REvil foi responsável por mais de 23% dos ataques rastreados em julho, Isso foi mais do que qualquer outro grupo rastreado no relatório.

Segundo o CEO da BlackFog, Darren Willians, os dados mostram que o REvil é uma das variantes de ransomware de maior sucesso em 2021 e que não é surpreendente que o grupo tenha reiniciado devido ao sucesso anterior.

Willians diz:

“Há uma demanda claramente reprimida pelas técnicas e base de código do grupo. O nível de pressão aplicado pelo presidente dos EUA e a discussão de alto nível com Putin estão correlacionadas ao momento da pausa de atividades do grupo.

No geral, a rede global de invasores que utilizam a tecnologia do grupo REvil está em um patamar superior aos demais cibercriminosos. O sucesso desses ataques recentes e o tamanho e volume absolutos geraram indiretamente ainda mais interesse por parte dos invasores que licenciam a tecnologia. Se funcionar, então claramente mais invasores aproveitarão essa tecnologia até que algo melhor apareça. O desafio para fornecedores de segurança cibernética é evitar esses ataques usando tecnologias mais recentes, como a exfiltração de dados”.

Currículo recheado

Segundo o analista de ameaças da Emsisoft, Brett Callow, o grupo REvil atacou pelo menos 360 organizações sediadas nos Estados Unidos este ano.

O site de pesquisa RansomWhere diz que o grupo arrecadou mais de U$ 11 milhões somente neste ano, com ataques de alto perfil a empresas como Acer, JBS, Kaseya, Quanta Computer e muitas outras.

O fechamento do REvil, em julho, deixou algumas vítimas em situação muito difícil após ataques. Mike Hamilton, ex-CISO de Seattle e agora CISO da empresa de combate a ransomware Critical Insight, disse que uma empresa pagou resgate após o ataque da Kaseya, recebeu as chaves de descriptografia, contudo descobriu que as mesmas não funcionavam.

O REvil normalmente oferece uma função help desk, que ajuda as vítimas a recuperar seus dados.

Como se proteger de ataques ransomware?

Além do REvil, que possivelmente voltará a atacar a qualquer momento, existem inúmeras outras variantes de ransomware. Por isso, separamos algumas dicas para que você posa manter seu negócio ainda mais seguro. Confira:

  • Tome cuidado com anexos e links em e-mails, especialmente com mensagens em nome de bancos, lojas ou autoridades judiciais. O teor desse tipo de e-mail induz usuários desavisados a clicar no link ou anexo;
  • Tome cuidado nas redes sociais e serviços de mensagens instantâneas, como Facebook, Instagram, LinkedIn e WhatsApp, por exemplo. Mesmo que a mensagem venha de uma pessoa conhecida, o dispositivo pode ter sido comprometido e a mensagem enviada de forma automática;
  • Nunca baixe arquivos de sites suspeitos ou considerados não seguros, e ative os recursos de segurança e privacidade do navegador;
  • Mantenha o sistema operacional e aplicativos sempre atualizados, isso diminui o risco de alguma vulnerabilidade ser explorada;
  • Utilize uma excelente solução de antivírus, pago, de um fornecedor confiável e bem recomendado;
  • Não conecte em redes sem fio não confiáveis ou redes públicas. Quando necessário, utilize uma VPN para realizar as conexões;
  • Faça backup de seus arquivos regularmente, e tenha uma cópia atualizada off-line. Assim você pode recuperá-los em caso de sequestro de dados, mas esteja ciente que os ataques estão evoluindo para exposição dos dados, então a estratégia de prevenção continua fundamental.
  • Crie um plano de resposta adequado em caso de ocorrência de um sinistro, desconecte fisicamente os sistemas para minimizar os impactos e avalie os danos a partir do ambiente off-line;
  • Revise políticas de segurança, ferramentas de proteção e módulos dos sistemas periodicamente;
  • Oriente frequentemente os colaboradores, especialmente quanto ao uso dos computadores, internet, e-mail entre outros. Fortalecer o fator humano é fundamental em uma estratégia de segurança.

Os ransomwares, além de perigosos, podem trazer muita dor de cabeça e prejuízos financeiros. É importante manter seus dispositivos e redes seguras para não se tornar alvo de cibercriminosos.

Caso tenha alguma dúvida, sinta-se à vontade para entrar em contato conosco, estaremos a disposição para esclarecimentos e orientações.

Fonte: ZDNet.

This post is also available in: Português