O REvil tem sido uma das campanhas de ransomware como serviço mais prolíficas da memória recente. Milhares de empresas de tecnologia, provedores de serviços gerenciados e organizações de todos os tipos de setores estão entre suas vítimas em todo o mundo. A Bitdefender elabora o balanço preliminar de uma empresa de extorsão.
A cooperação entre autoridades de segurança e especialistas em TI resultou em grande sucesso no segundo semestre de 2021. Esforços conjuntos foram necessários porque os criminosos cibernéticos também cooperaram com sucesso. Os especialistas do Bitdefender Labs avaliam a – talvez apenas temporária – falha de uma onda bem-sucedida de ransomware como serviço.
Greves internacionais contra apoiadores do REvil
Mais recentemente, investigadores internacionais desferiram fortes golpes contra os criminosos apoiadores do REvil: durante uma operação em novembro de 2021, o Departamento de Justiça dos EUA prendeu os chamados afiliados, ou seja, parceiros ou participantes da rede REvil, e confiscou cerca de seis milhões de dólares americanos. dólares em dinheiro de resgate. Então, em janeiro de 2022, a agência de inteligência doméstica da Rússia, FSB, e a polícia russa prenderam quatorze outros membros suspeitos do REvil e apreenderam ativos financeiros multimilionários adicionais.
Ransomware como um modelo de negócio
Aos olhos das autoridades russas, um dos grupos de ransomware mais bem-sucedidos, com vendas anuais de 100 milhões de dólares americanos e uma participação de mercado de 16,5%, foi esmagado. Para alcançar tal resultado, os operadores de RaaS atacaram uma ampla variedade de setores — principalmente manufatura, serviços jurídicos e construção (consulte a Figura 1). O negócio inicialmente prosperou e garantiu grandes lucros para os envolvidos: a Bitdefender estima que cerca de dez membros principais e, nos horários de pico, cerca de 60 outros parceiros participaram das ações. Este último recebia cerca de 70 a 80 por cento dos lucros.
Uma empresa madura
Indústrias visadas pelo ransomware REvil (Imagem: Bitdefender).
O REvil mostra exemplarmente o poder e o grau de organização dos modelos criminosos de ransomware como serviço. Na rede de afiliados, os desenvolvedores, os invasores e os que realizaram os testes de penetração, bem como os cobradores de resgate trabalharam em estreita colaboração e também pensaram na infraestrutura para coletar os valores acordados. Eles até estabeleceram apoio para as vítimas que estivessem dispostas a pagar: eles poderiam pagar o resgate por meio de um portal. Além disso, os funcionários do serviço criminal aconselharam as organizações atacadas na aquisição de criptomoedas ou as ajudaram a usar o navegador TOR.
O meio criminoso também premia a competência
A qualidade se destaca na economia informal. Isso ficou evidente no grupo REvil: quanto melhor o código do malware e os serviços associados se tornaram, mais parceiros profissionais aderiram ao modelo de sucesso. Outras melhorias trouxeram alvos ainda mais gratificantes ao alcance do atacante. Os atores obtiveram resgates mais elevados, que reinvestiram imediatamente no RaaS: em novos serviços ou em novos funcionários. Os associados criminosos geralmente eram profissionais procurados que mudavam de um parceiro afiliado para outro.
Diálogo de vítima como comunicação com o cliente
Os cibercriminosos abordaram suas vítimas como um cliente. Então eles exigiram o resgate de acordo com um padrão fixo, apenas as chaves e o URL diferiam. Os coletores de resgate também tentaram inspirar confiança nas vítimas. Uma saudação personalizada ("Bem-vindo ") pertencia ao "bom tom". Desde o início de 2020, os invasores deram uma suposta garantia de que seu próprio descriptografador REvil funcionaria melhor do que o de outra organização criminosa. Ele prometeu uma taxa de recuperação de quase 100% em comparação com apenas 87%.
Ameaças Forjadas
Trabalho conjunto - lucro conjunto - operação institucionalizada: o modelo ransomware como serviço (Imagem: Bitdefender).
Por outro lado, os parceiros RaaS criaram um potencial de ameaça multicamada no qual a criptografia era apenas uma parte de várias. Com referência ao Regulamento Geral Europeu de Proteção de Dados, eles não apenas ameaçaram criptografar os dados, mas também divulgá-los. O que teria resultado em obrigação de denúncia, danos à sua imagem que não devem ser subestimados e, no pior dos casos, multa. Se o resgate não fosse pago, os criminosos aumentavam sistematicamente a pressão, publicavam dados vazados e depois exigiam um resgate para interromper esse processo. O terceiro nível de escalonamento foi distribuído ataques de negação de serviço nas vítimas e seus parceiros de negócios.
O colapso do REvil
Além da pressão de busca e da disponibilidade de descriptografadores também desenvolvidos pela Bitdefender, fatores internos também contribuíram para retardar o sucesso do REvil a partir do outono de 2021. Um processo de compartilhamento de trabalho como o RaaS é baseado na reputação e na confiança mútua dos envolvidos. Aparentemente, os iniciadores do REvil perderam a reputação necessária dentro da comunidade cibercriminosa. Por um lado, isso se deveu ao seu comportamento provocativo e barulhento, que violou um código de conduta no submundo do crime cibernético. Por outro lado, o ataque ao setor de saúde ou aos fabricantes de produtos farmacêuticos e pesquisadores de medicamentos durante a pandemia gerou polêmica entre o semipúblico criminoso. Os criminosos da velha escola acharam isso contraproducente e esperavam que essas empresas desenvolvessem rapidamente um antídoto - porque então a economia voltaria a funcionar mais rápido e resgates mais altos poderiam ser exigidos novamente.
Obras de defesa comum e internacional
O complexo REvil mostrou que apenas uma resposta comum ajuda contra um grupo de criminosos cibernéticos: do lado tecnológico, uma combinação de tecnologias e serviços como detecção e resposta gerenciada (MDR), análise heurística e aprendizado de máquina, por um lado, como bem como conhecimento e experiência e intuição dos especialistas em segurança de TI, por outro lado. Ferramentas como descriptografadores também contribuíram. Com a ferramenta de descriptografia lançada pela Bitdefender no outono de 2021, 1.400 empresas conseguiram descriptografar arquivos com um valor total de meio bilhão de dólares americanos. Do lado do pessoal, é importante uma estreita cooperação entre os atores do setor público e privado na segurança de TI. E isso em todo o mundo, porque o cibercrime não conhece fronteiras nacionais.
Mais em Bitdefender.com
Sobre o Bitdefender A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de