Após meses de inatividade, os sites do grupo que operavam o ransomware REvil (ou Sodinokibi) voltaram a estar online na rede Tor. Em setembro do ano passado, o grupo, responsável por sequestro de sistemas em empresas como Acer, JBS e até mesmo seus próprios clientes, havia desativado todos os seus sites e encerrado operações pouco antes de ser desmantelado pelo Serviço Federal de Segurança da Rússia.

Agora, no entanto, seus sites redirecionam para uma nova operação de ransomware, lançada recentemente. Não se sabe ainda quem ou qual grupo está por trás da reativação, mas o novo site contém uma extensa lista apresentando vítimas anteriores do Revil, bem como duas novas.

De acordo com a publicação Bleeping Computer, a dupla de pesquisadores de cibersegurança pancak3 e Soufiane Tahiri descobriram recentemente anúncios que promoviam o novo site do REvil no fórum de hackers RuTor. Embora a nova localização esteja hospedada em um domínio diferente, ele ainda redireciona para o REvil original.

Site inclui refinaria de petróleo indiana em lista de empresas afetadas

Segundo o novo site do REvil, os cibercriminosos começaram a empregar um modelo Ransomware-as-a-Service, em que os afiliados obtêm uma versão aprimorada do vírus, bem como 20% de todos os pagamentos de resgate coletados. O novo domínio também apresenta uma lista de 26 páginas com contas de vítimas. Embora a maior parte seja de ataques anteriores, as duas últimas relacionadas têm a ver com a nova operação — uma delas a Oil India (IOC), refinaria de petróleo indiana.

Usuários de um fórum de hackers popular na Rússia começaram a discutir se o novo site do REvil foi criado pelas autoridades para fisgar cibercriminosos ou se, de fato, é uma continuação legítima do grupo. Para piorar as coisas, há várias operações de ransomware utilizando os criptografadores do REvil ou representando o grupo original.

Grupo foi derrubado em ação conjunta do FBI com outros países

O REvil foi desbaratado no fim do ano passado após um ataque contra a empresa de softwares Kaseya. As forças de segurança, capitaneadas pelo FBI (Serviço Secreto dos EUA), identificaram uma chave criptográfica que era capaz de recuperar todos os arquivos infectados sem pagamento de recompensas. Mas os agentes esconderam a chave.

Quando um dos cibercriminosos utilizou os backups dos servidores do site do REvil, ele reinstaurou sistemas que já haviam sido comprometidos pelo Serviço Secreto dos EUA. De certa forma, o feitiço foi utilizado contra o feiticeiro.

“A gangue de ransomware REvil restaurou a infraestrutura a partir dos backups sob o pressuposto de que eles não foram comprometidos”, disse o representante do laboratório forense da empresa de cibersegurança russa Group-IB, Oleg Skulking, à agência Reuters. “Ironicamente, a tática favorita da gangue de comprometimento dos backups foi usada contra eles.”

Crédito da imagem principal: BeeBright/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!