A extinta gangue ransomware REvil está assumindo responsabilidade por uma recente campanha de negação distribuída de serviço (DDoS) contra um cliente de hospitalidade do provedor de rede de nuvem Akamai. No entanto, os pesquisadores acreditam que é provável que o ataque não seja um retorno do infame grupo cibercriminal, mas sim um esforço de imitação.
Desde 12 de maio, a Akamai tem monitorado um ataque DDoS, pois um cliente da empresa alertou a equipe de resposta de incidentes de segurança (SIRT). O grupo responsável pelo ataque alega ter ligação com a REvil, o que foi revelado em um post de blog na quarta-feira.
Até o momento, os ataques têm como alvo um site, bombardeando-o com um fluxo de requisições HTTP/2 GET, utilizando algumas técnicas de abuso de cache, de acordo com Larry Cashdollar, pesquisador de vulnerabilidades da Akamai SIRT. Essas solicitações possuem pedidos de pagamento, criptomoedas, como a Bitcoin (BTC), e outros pedidos de ordem empresarial ou política.
No entanto, embora os cibercriminosos afirmem ser REvil, não está claro se neste momento o grupo de ransomware desaparecido é responsável, pois as ações parecem menores do que as campanhas anteriores por ele alegadamente realizadas, segundo relatam os pesquisadores.
Também parece haver uma razão política por trás da campanha DDoS, que é incompatível com as estratégias anteriores da REvil, onde o grupo alegou que era dirigido exclusivamente por lucros.
A possibilidade de regressar de Revil?
Em julho de 2021, o ReVil teve seu acesso obscurecido. Era um grupo de ransomware-as-a-service (RaaS) com sede na Rússia que se tornou famoso por seus ataques de alto perfil contra Kaseya, JBS Foods e Apple Computers, entre outros. Devido à natureza disruptiva de suas ações, as autoridades internacionais agiram com firmeza e a Europol prendeu vários membros da gangue em novembro de 2021.
Em março de 2022, a Rússia, que até então não havia agido para deter o REvil, foi responsabilizada pelo governo dos Estados Unidos pelo desmanche da organização. Um dos detidos na ocasião foi essencial para o ataque letal executado pelo grupo DarkSide ao Colonial Pipeline em maio de 2021, que culminou na empresa pagando US$ 5 milhões de resgate.
Um ataque DDoS recente — que serviu como uma porta de entrada para o REvil — consistia em uma simples solicitação HTTP GET, na qual o caminho de solicitação continha uma mensagem de 554 bytes para o alvo, exigindo pagamento. Segundo pesquisas, o tráfego desse ataque à camada 7 da rede, responsável pela interação humano-computador nos serviços de rede, caiu para 15 kRps.
A pessoa atingida foi instruída a transferir o pagamento em BTC para um endereço de carteira que “atualmente não tem registro e não está conectado a qualquer BTC anteriormente identificado”, comentou Cashdollar.
O ataque também foi acompanhado por uma solicitação geográfica adicional, que pediu à empresa alvo que pare de operar em um país inteiro, disse ele. Para acompanhar isso, os invasores ameaçaram realizar um segundo ataque que impactaria as operações comerciais em todo o mundo, caso a exigência não fosse atendida e o resgate não fosse pago dentro de um período de tempo específico.
A possibilidade de um ataque Copycat é uma preocupação.
Existe um histórico de REvil usando DDoS como uma forma de tripla extorsão. No entanto, isso não parece ser algo que o grupo ransomware normalmente faz, a menos que seja o início de uma missão totalmente nova, comentou Cashdollar.
A forma de agir normal da REvil consistia em adquirir entrada em uma rede ou instituição alvo e codificar ou apropriar-se de dados confidenciais, exigindo pagamento para a descodificação ou para evitar o vazamento de informações aos proponentes mais elevados ou ameaçando tornar os dados sensíveis ou nocivos públicos, declarou ele.
Cashdollar afirmou que a tática vista no ataque DDoS “está muito distante de seus procedimentos padrão”. Ele também observou que o grupo REvil é um serviço de software como serviço (SaaS), e não houve evidências de ransomware neste caso.
A motivação política associada ao ataque – que se relaciona a uma decisão jurídica sobre o modo de operação da empresa-alvo – contradiz o que os líderes da REvil afirmaram no passado, de que eram motivados exclusivamente pelo lucro. “Não vimos o REvil ligado a nenhuma campanha política em nenhum outro incidente relatado”, observou Cashdollar.
Apesar disso, Cashdollar afirmou que há uma chance de que a REvil esteja tentando dar uma nova vida ao seu esquema de negócios de chantagem por meio de ataques DDoS. Porém, o analista acredita que os responsáveis por esta campanha possuem somente o intuito de intimidar a empresa alvo, usando o nome de um conhecido grupo criminoso, para satisfazer seus requerimentos.
Qual é a melhor forma de fazer o seu alvo pagar o preço? Uma boa maneira é invocar o nome de uma notável organização que causa medo nos executivos e departamentos de segurança de empresas, com ameaças à indústria amplamente divulgadas?
Verifique e divulgue este artigo.
- Sinceramente, meu desejo é que você me conceda essa gentileza.
- Software maligno, que pode ser usado para apropriar-se de dados confidenciais, é conhecido como malware.
