Rússia prende membros da gangue de ransomware REvil a pedido de autoridades dos EUA

Mais de uma dúzia de membros do grupo de ransomware REvil foram presos por cortesia do governo russo. Na sexta-feira, o Serviço Federal de Segurança da Federação Russa anunciou um esforço conjunto entre ele e o Ministério da Administração Interna da Rússia que levou à prisão de 14 pessoas associadas ao infame grupo de crimes cibernéticos.

VEJA: Ransomware: O que os profissionais de TI precisam saber (PDF grátis) (TechRepublic)

Cerca de 25 endereços residenciais foram pesquisados ​​com não apenas as 14 pessoas presas, mas vários bens apreendidos, incluindo mais de 426 milhões de rublos, € 500.000, US$ 600.000 em dólares americanos, carteiras criptográficas, equipamentos de informática e 20 carros de luxo comprados com dinheiro obtido dos crimes do grupo .

Os indivíduos presos foram acusados ​​de cometer crimes nos termos da Parte 2 do Artigo 187 “Circulação ilegal de meios de pagamento” do Código Penal da Rússia.

A operação foi realizada a pedido das autoridades norte-americanas, segundo o FSB, que acrescentou que os EUA foram informados do resultado. “As medidas investigativas foram baseadas em um pedido dos… Estados Unidos”, disse o FSB, segundo a Reuters. “A associação criminosa organizada deixou de existir e a infraestrutura de informação utilizada para fins criminosos foi neutralizada.”

À medida que os ataques de ransomware se tornaram mais comuns e destrutivos nos últimos dois anos, o REvil tornou-se famoso como um dos principais culpados. O grupo chamou atenção indevida para si mesmo no ano passado após seu ataque contra a empresa de TI corporativa Kaseya, um incidente que afetou mais de 1.000 organizações em toda a cadeia de suprimentos da empresa. Outro ataque contra a empresa de processamento de carne JBS Foods trouxe ainda mais o REvil para o centro das atenções.

O grupo teria sido derrubado em outubro passado por uma operação multinacional na qual policiais e especialistas cibernéticos invadiram a infraestrutura de rede de computadores do REvil, assumindo o controle de parte de sua infraestrutura. Desde então, os membros do grupo estão voando sob o radar, mas claramente ainda estão foragidos.

O governo Biden vem pressionando a Rússia a levar o ransomware e seus perpetradores a sério, especialmente em meio a alegações de que grupos como o REvil operaram com pelo menos a permissão tácita da antiga União Soviética. A operação de sexta-feira também ocorreu em meio à tensão entre os EUA e o Kremlin devido a temores de que a Rússia esteja planejando uma nova invasão da Ucrânia.

Referindo-se ao comentário do FSB de que a operação foi realizada a pedido do governo dos EUA, Chris Morgan, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows, disse que isso pode representar uma mensagem indireta indicando que a Rússia pode ser usada para interromper a atividade de ransomware. mas apenas em determinadas circunstâncias.

VEJA: Ataque de ransomware: Por que uma pequena empresa pagou o resgate de US$ 150.000 (TechRepublic)

“É provável que as prisões contra membros do REvil tenham sido politicamente motivadas, com a Rússia procurando usar o evento como alavanca”, disse Morgan. “Pode ser debatido que isso possa estar relacionado a sanções contra a Rússia recentemente propostas nos EUA, ou ao desenvolvimento da situação na fronteira da Ucrânia. O fato de o FSB ter como alvo o REvil, que não atua publicamente na condução de ataques desde outubro de 2021, também é significativo. Conversas em fóruns cibercriminosos russos identificaram esse sentimento, sugerindo que o REvil eram ‘peões em um grande jogo político’, enquanto outro usuário sugeriu que a Rússia fez as prisões ‘de propósito’ para que os Estados Unidos ‘se acalmassem’”.

O FSB também pode ter invadido o REvil sabendo que o grupo era um alvo de alta prioridade para os EUA, mas que as prisões teriam pouco impacto no cenário atual de ransomware, acrescentou Morgan. A operação pode até ter sido encenada como um aviso para que outras gangues de ransomware estejam atentas a quem elas visam, para que não chamem atenção indevida para si mesmas.

A questão agora é se essas prisões significam que o REvil está realmente em baixa.

“Em relação ao REvil, o grupo criminoso viu algumas iterações e provavelmente seu quinhão de atrito interno desde o início”, disse Neal Dennis, especialista em inteligência de ameaças da Cyware. “Eles resistiram a ataques digitais e quedas, mas sempre pareceram se recuperar. Por quê? Porque ações digitais não são nada sem prisões de membros-chave da quadrilha. Dito isto, REvil não é a primeira equipe cibernética russa a ser exterminada pelas autoridades russas e não será a última. No passado, quando um grupo se tornava tão grande e prolífico quanto este no cenário global, a Rússia acabava intervindo.”