Ransomware-1.jpg

Sites de gangues do REvil estão fora do ar desde segunda-feira

A infraestrutura e os sites para a operação do ransomware estão fora do ar, o que é considerado por especialistas como bastante incomum
Da Redação
14/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A infraestrutura e os sites para a operação do ransomware REvil estão fora do ar desde a noite de segunda-feira, 12. As gangues do REvil, também conhecido como Sodinokibi, operam por meio de vários sites na dark web usados para negociar resgate, vazar dados de empresas que se negam a pagar resgate e como infraestrutura de back-end.

Além disso, o site decodificador Re clear, que notifica a empresa vítima de ataque do ransomware que paga resgate que o procedimento de descriptografia for concluído, não pode mais ser usado por consultas DNS, possivelmente indicando que os registros DNS para o domínio foram retirados do ar ou que a infraestrutura DNS de back-end foi desligada.

Embora não seja incomum que sites do REvil percam a conectividade por algum tempo, todos saírem do ar simultaneamente é incomum. Na tarde desta terça-feira, 13, o operador do ransomware LockBit postou no fórum de hackers XSS de língua russa que há rumores de que a gangue REvil desligou seus servidores após saber de uma intimação do governo.

Para o diretor regional da Check Point Software Brasil, Claudio Bannwart, uma possível explicação para o ocorrido é que tenha havido uma derrubada silenciosa, semelhante ao que aconteceu com o DarkSide, quando os hackers foram ‘discretamente’ derrubados pelas autoridades competentes. Outra possibilidade, segundo ele, é o grupo de ransomware ter decidido se manter na discrição, dada toda a atenção que receberam ultimamente com os ataques à Colonial Pipeline, Kaseya e JBS. 

“É possível que o Revil tenha se ‘aposentado’, pelo menos temporariamente, como sucedeu há alguns anos com o ransomware GandCrab. Entretanto, não tiraremos conclusões precipitadas, pois o REvil é, sem dúvida, um dos grupos de cibercriminosos de ransomware mais implacáveis e criativos já vistos”, alerta Bannwart.  

As últimas estatísticas da divisão Check Point Research (antes desse acontecimento sobre REvil):  

  • Nos últimos dois meses (maio e junho), a Check Point Research (CPR) registou 15 ciberataques do REvil por semana;
  • Os Estados Unidos, o Brasile a Índia são os países mais atacados por esse grupo de ransomware;
  • De acordo com a CPR, os ataques globais de ransomware aumentaram 93% nos últimos 12 meses;
  • O número médio de ataques de ransomware por semana no Brasil aumentou em 6 % nos últimos dois meses, em 92 % desde o início de 2021 e em 102 % nos últimos 12 meses. 

Veja isso
Chave do sucesso do REvil é a inovação constante, diz relatório
REvil pegou 1 milhão de sistemas no ataque à Kaseya

O diretor regional da Check Point Software Brasil reforça as recomendações básicas para que os usuários se previnam e permaneçam protegidos contra um próximo ataque: 

Instalar atualizações e patches regularmente. O WannaCry atingiu fortemente organizações em todo o mundo em maio de 2017, infectando mais de 200 mil computadores em três dias. No entanto, um patch para a vulnerabilidade EternalBlue explorada estava disponível por um mês antes do ataque. Atualizações e correções (patches) precisam ser instaladas imediatamente e ter uma configuração automática.  

Instalar o antiransomware. A proteção antiransomware observa qualquer atividade incomum, como abrir e criptografar um grande número de arquivos e, se algum comportamento suspeito for detectado, pode reagir imediatamente e evitar danos massivos.  

A educação é uma parte essencial da proteção. Muitos ataques cibernéticos começam com um e-mail direcionado que não contém malware, mas usa engenharia social para tentar fazer com que o usuário clique em um link perigoso. A educação e conscientização do usuário é, portanto, uma das partes mais importantes da proteção.  

Os ataques de ransomware não começam com o próprio ransomware, portanto, é preciso tomar cuidado com outros códigos maliciosos, como malwares Trickbot ou Dridex, que se infiltram nas organizações e preparam o terreno para um ataque de ransomware subsequente.  

Fazer backup e arquivar dados é essencial. Se algo der errado, seus dados devem ser recuperados de maneira fácil e rápida. É imperativo fazer backup de forma consistente, inclusive automaticamente nos dispositivos dos funcionários, e não depender deles para se lembrar de ativar o backup por conta própria.  

Limitar o acesso apenas às informações necessárias e ao acesso ao segmento. Se uma empresa deseja minimizar o impacto de um ataque potencialmente bem-sucedido, é importante garantir que os usuários tenham acesso apenas às informações e recursos de que absolutamente precisam para realizar seu trabalho. A segmentação minimiza o risco de ransomware se espalhar incontrolavelmente pela rede. Lidar com as consequências de um ataque de ransomware em um sistema pode ser difícil, mas reparar o dano após um ataque em toda a rede é muito mais árduo.  

Ter mais atenção nos fins de semana e feriados. A maioria dos ataques de ransomware no ano passado ocorreu nos finais de semana ou feriados, quando as organizações tendem a ser menos ágeis para responder a uma ameaça. 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest