Reaparecimento do malvado pode anunciar novas campanhas de resgate

Reaparecimento do malvado pode anunciar novas campanhas de resgate

O aparente retorno do REVIL ransomware O sindicato em meio à reativação de sua infraestrutura e o site de vazamento da web dark – conhecido como Happy Blog – lançou dúvidas sobre relatórios anteriores da morte da tripulação e pode ainda anunciar uma nova campanha de ataques de ransomware nos próximos meses.

O sindicato caiu off-line em meados de julho em circunstâncias misteriosas, o que levou à especulação da comunidade de que as autoridades russas haviam pressionado a gangue a reduzir suas atividades na sequência de seu ataque de alto perfil à Kaseya, que derrubou várias empresas ao retirar seus provedores de serviços gerenciados.

Outros teorizaram que houve uma desavença dentro da organização Revil, ou que os membros da gangue simplesmente decidiram sacar e “aposentar” REVIL para se concentrarem em novos projetos, como eles fizeram antes.

A reativação do Happy Blog do REvil foi identificada por pesquisadores de toda a comunidade de segurança, incluindo Emsisoft e Futuro registrado. Vários relatórios dizem que o portal de pagamento do grupo também está disponível mais uma vez, e Biping Computer confirmou que os ataques REvil estão ocorrendo atualmente.

Exabeam o estrategista-chefe de segurança Steve Moore disse que, como a reativação de partes da infraestrutura do REvil parece ser um sinal de que a operação está de volta aos negócios, é apenas uma questão de tempo antes de outro ataque significativo.

“Eu incentivo as organizações a pensarem sobre isso”, disse Baker. “Primeiro, eles sem dúvida têm sua próxima cadeia de suprimentos de software comprometida. A técnica começou na espionagem e agora foi emprestada para atividades criminosas. Esta campanha ainda não começou – mas começará em breve.

“Por outro lado, os defensores devem se concentrar mais na invasão perdida e nas opções de recuperação insatisfatórias e menos no ransomware. Ransomware é o produto da incapacidade de detectar e interromper o ciclo de comprometimento – ponto final. ”

Moore acrescentou: “Diretamente, REvil reservou um tempo para reequipar, reequipar e tirar algumas férias durante o verão. O fato de seus sites estarem online novamente significa que eles estão, novamente, prontos para o negócio e têm objetivos em mente. ”

Talion O diretor de operações de segurança, Chris Sedgwick, acrescentou: “Grupos de hackers desaparecendo quando as coisas esquentam é algo que vimos com frequência no passado, em casos como Emotet ou Anonymous. Quando os grupos desaparecem, geralmente é para ganhar algum tempo e tirar os holofotes dos órgãos de segurança pública, e raramente significa que estão desaparecendo para sempre.

“Partindo do pressuposto de que este é realmente o mesmo grupo de ameaça operando a infraestrutura, esperaríamos ver uma nova variante de ransomware do grupo em um futuro próximo, mas com vítimas muito mais cuidadosamente selecionadas para manter a mídia e a atenção do governo longe delas, como tanto quanto possível. ”

Além da Kaseya, a gangue REvil – também conhecida como Sodinokibi – e suas afiliadas estão por trás de alguns dos ataques de ransomware mais impactantes dos últimos dois anos, com vítimas, incluindo JBS, empresa norte-americana de abastecimento de carne, Criador de PC taiwanês Acer, um escritório de advocacia de Nova York com clientes famosos, incluindo cantores Nicki Minaj e Mariah Carey, e Travelex, provedora de serviços de câmbio, que acabou falindo como resultado indireto de um ataque anterior do Revil no final de 2019.

Acredita-se que esses esforços tenham rendido aos responsáveis ​​pela REvil pelo menos US $ 100 milhões e possivelmente mais.

Mesmo que haja outra explicação por trás do aparente ressurgimento do REvil, as equipes de segurança devem usar esse tempo para fazer um balanço de sua postura de segurança cibernética e planos de resposta a ransomware. Mais orientações sobre defesas eficazes contra ransomware estão disponíveis do Centro Nacional de Segurança Cibernética do Reino Unido.

Leave a Reply

Your email address will not be published.