REvil Ransomware

REvil é o identificador comumente usado para um grupo de atores de ameaças que lida principalmente com ransomware. A mesma organização criminosa às vezes é chamada de Sodinokibi, em homenagem ao nome de outra cepa de ransomware que o grupo usava originalmente.

REvil é uma operação privada administrada por cibercriminosos que operam um anel de ransomware como serviço. As partes afiliadas podem, de certo modo, alugar a infraestrutura do servidor REvil e as cargas úteis do ransomware e lançar seus próprios ataques, dividindo qualquer lucro ilegal potencial do resgate pago com o grupo REvil.

Não há evidências concretas sobre o país onde opera a REvil, mas especula-se que o grupo possa estar sediado na Rússia, pelo fato de nunca terem lançado um ataque contra empresas e alvos localizados na Rússia ou em outros países pertencentes para o chamado ex-bloco soviético. Também há especulação de que o grupo REvil está de alguma forma relacionado ao grupo de ameaça DarkSide, já que o código do ransomware que os dois grupos de hackers usam tem certas semelhanças.

O grupo REvil está na mira da comunidade infosec desde o final de 2019, com ataques significativos e aumento da atividade em 2020.

Ataques passados notáveis atribuídos a REvil

Os ataques mais notáveis executados pela REvil no passado incluem o ataque à Quanta Computers, um fabricante de hardware com sede em Taiwan. O REvil roubou planos e documentação relacionados aos próximos produtos da Apple no ataque.

Há pouco mais de um mês, a REvil também estava por trás do enorme trabalho de ransomware na JBS USA Holdings - o maior fornecedor de carne fresca dos Estados Unidos. O ataque culminou com a JBS pagando massivos US $ 11 milhões aos hackers para obter uma ferramenta de descriptografia e restaurar suas redes ao funcionamento normal.

Em junho de 2021, REvil também assumiu a responsabilidade pelo ataque de ransomware relatado pela empresa de equipamentos de geração de energia com sede nos Estados Unidos.

Novos esforços de ataque lançados por hackers REvil Ransomware visando centenas de empresas durante o feriado de 4 de julho

Uma campanha cibernética envolvendo o REvil ransomware começou a visar empresas na América do Norte no fim de semana de 4 de julho. Neste ataque específico, conhecido como ataque à cadeia de suprimentos, REvil usou um software de desktop remoto de terceiros desenvolvido pela empresa de suporte de TI Kaseya, para espalhar sua carga para outras empresas.

A empresa afirmou que seu software remoto estava sendo usado para espalhar o REvil para vítimas inocentes. Os relatórios afirmam que pelo menos 200 empresas americanas foram afetadas, bem como 40 empresas internacionais.

O ataque REvil Ransomware foi descoberto na sexta-feira, 2 de julho, depois que o REvil usou uma atualização de software para comprometer os serviços de desktop remoto da Kaseya. Em resposta ao ataque, a empresa desligou seus servidores SaaS para proteger os dados dos clientes e pediu-lhes que tomassem medidas de precaução contra o hack. No entanto, como o ataque aconteceu exatamente no início do feriado de 4 de julho, é provável que as respostas à ameaça pelas empresas afetadas sejam atrasadas.