Conheça o REvil, gangue de ransomware por trás dos ataques à Kaseya

Um dos operadores de ransomware mais notórios do mundo, o REvil ganhou manchetes na semana passada ao conseguir atacar, direta ou indiretamente e de uma única vez, centenas (talvez milhares) de empresas em todo o mundo. Foram afetados os clientes da fabricante de software de gerenciamento americana Kaseya.

A própria empresa reportou o ataque, e ainda nessa quarta (7) tentava reiniciar servidores após problemas técnicos decorrentes. Os prejuízos ainda não foram calculados, embora a Kaseya – que provê serviços para 40 mil empresas em 20 países – tenha divulgado que apenas 60 clientes diretos foram afetados pelo ataque de ransomware na sexta-feira (2) – os indiretos podem chegar a 1,5 mil.

Apesar dos ares de novidade, o REvil é um grupo antigo, bem estabelecido e com um histórico de ataques bem-sucedidos. É o que revela uma análise publicada essa semana pela Unit 42, unidade de pesquisa da fabricante Palo Alto Networks. Trata-se de um dos grupos “mais prolíficos que o grupo de consultoria encontrou em 2021”, diz a empresa.

A Unit 42 diz que monitora agentes de ameaças vinculados ao grupo há pelo menos três anos. A primeira vez que ele foi avistado foi em 2018. Na época, ele se concentrava principalmente na distribuição de ransomware por meio de anúncios infectados (malvertising) e kits de exploração (ferramentas que hackers usam para infectar vítimas usando downloads um sites maliciosos).

O grupo cresceu e ganhou reputação de vazar conjuntos de dados massivos e exigir resgates multimilionários. Agora está entre o que a Unit 42 classifica como “grupo de elite de gangues de extorsão cibernética”, responsável pelo aumento de ataques de ransomware em empresas e nações.

Histórico de prejuízos

Esse ano o REvil conseguiu alguns êxitos milionários. Além da Kaseya – da qual exigiu US$ 70 milhões de “resgate” no primeiro dia de infeção, reduzindo o valor para US$ 50 milhões alguns dias depois –, o grupo alega ser o responsável pelo ataque à rede de laboratórios brasileira Fleury. Segundo a Unit 42, o resgate exigido foi de US$ 5 milhões, mas não se sabe se o valor foi pago.

O pagamento médio feito ao REvil durante o ano foi de cerca de US$ 2,25 milhões, segundo a Unit 42. E o maior resgate conhecido e pago foi de US$ 11 milhões, após um ataque de alto perfil contra a operação americana da brasileira JBS, que chegou a fechar fábricas de processamento.

De modo geral, diz o grupo da Palo Alto, vítimas que não conseguem pagar ou negociar resgates tem os dados roubados publicados e vendidos no “Happy Blog”, um site mantido pelo grupo de hackers.

O relatório completo, que inclui uma linha do tempo e modo de operação do REvil, pode ser acessado (em inglês) nesse link.