[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Fúria dos EUA põe em fuga operadores de ransomware

Os operadores do DarkSide, o ransomware-as-a-service (RaaS) que atingiu a Colonial Pipeline, maior oleoduto da costa leste dos EUA, já iniciaram sua fuga das autoridades norte americanas. É que na sexta-feira o presidente dos EUA, Joe Biden, anunciou que o governo deverá dar uma resposta aos cibercriminosos. Mas não é só: além do DarkSide, vários outros operadores de ransomware e de fóruns de crimes cibernéticos alegaram que sua infraestrutura foi desligada, alteraram regras de participação ou estão abandonando o ransomware completamente devido à grande quantidade de atenção direcionada ao assunto, informou a consultoria Intel 471. A Intel 471 observou que o BitMix, um serviço popular de mistura de criptomoedas usado pelos operadores dos ransomwares Avaddon, DarkSide e REvil aparentemente encerrou suas operações, de modo que os operadores terão de encontrar uma nova maneira de “lavar” a criptomoeda que ganham com os resgates.

Veja isso
Sistema de saúde da Irlanda travado por ransomware
Grupo Moura é vítima do ransomware DarkSide

Segundo informações obtidas pela Mandiant, os operadores do DarkSide enviaram chaves a todas as vítimas que ainda não pagaram o resgate – numa evidente tentativa de aliviar sua pena no caso de serem presos. Os operadores afirmaram também que até o dia 23 de maio pagarão todos os afiliados, liquidando suas dívidas atuais, numa demonstração de ética do crime. Outro grupo que anunciou encerramento de atividades é o Babuk, surgido no segundo semestre do ano passado, e que comunicou a entrega do seu código para outro grupo. Outro sintoma da debandada de criminosos é a queda do fórum XSS, que está fora do ar neste momento.

O anúncio do DarkSide causou um efeito cascata: um operador do ransomware REvil anunciou que iria parar de promover seu malware nos fóruns, excluindo o tópico onde o serviço foi anunciado. Disse também que o REvil continuará operando em outro fórum de cibercrime bem conhecido, em russo (trata-se do XSS), mas é esperado que ele também suspenda todas as postagens relacionadas a ransomware. Se isso ocorrer, o operador disse que o REvil provavelmente se tornaria totalmente privado.

Pouco tempo depois, o operador do REvil e o operador do Avaddon divulgaram declarações anunciando uma emenda às “regras” de suas organizações. Essas atualizações dizem que os afiliados não podem atacar organizações governamentais, de saúde, educacionais e de caridade, independentemente do país de operação. Além disso, todos os outros alvos precisam ser pré-aprovados pelos operadores do ransomware antes do ataque. De novo, ética dos criminosos.

A Intel471 acredita que todas essas ações podem estar diretamente relacionadas à reação relacionada aos ataques de ransomware da semana passada. No entanto, é provável que esses operadores de ransomware estejam apenas tentando fugir dos holofotes, podendo ressurgir mais adiante sob novos nomes e com variantes atualizadas de ransomware. 

Com agências de notícias internacionais