Descoberto em 2019 e com ações intensivas em 2021, o REvil, grupo conhecido pelos ataques da JBS e Apple, retoma atividades cibercriminosas com alto nível de sofisticação e personalização.

Ciberataques são datados da década de 1980, quando um laboratório do MIT criou um programa malicioso, conhecido como worms, que infectou diversas máquinas. Desde então, observa-se a evolução das técnicas aplicadas pelos grupos de cibercriminosos e mais: a reciclagem de ataques.

Assim como acontece no mundo físico com o processo que transforma materiais usados em novos visando sua reutilização, registra-se no universo cibernético. Os agentes mal-intencionados recriam malwares para atacar organizações. As novas estratégias aplicadas fazem com que os sistemas de prevenção, detecção e resposta tenham um tempo de aprendizado até identificar a completa anatomia do ataque.

Um dos que estão em evidência atualmente é o REvil, conhecido pela atuação na JBS, Apple e Kaseya, em 2021, e a evolução do principal malware registrado em 2018, o GandCrab — ransomware no formato RaaS (Ransomware as a Service) que visa o sistema Windows, criptografa importantes arquivos e solicita resgate.

Modus operandi e objetivos do REvil

Conhecido também como Sodinokibi, foi descoberto em 2019 pelos ataques de alto perfil. Porém, apenas em 2021 teve sua ação intensificada com a repercussão do sequestro de dados de importantes marcas globais, como a JBS e a Apple.

A diferença dele para seu antecessor é o fator da dupla extorsão — um dos elementos que indica a evolução contínua do ransomware.

De acordo com a TrendMicro, foram identificadas 35 famílias de ransomware que agem com a dupla extorsão. Entretanto, o REvil está entre as três mais relevantes, principalmente porque opera no esquema RaaS e é sucessor de um outro notório malware, como já citado anteriormente.

Neste caso, o processo se dá da forma tradicional com a criptografia dos arquivos das organizações visadas e exige-se pagamento em troca das informações. Entretanto, algumas empresas optam pelo não pagamento. É neste momento que a dupla extorsão acontece: os cibercriminosos expõem os dados publicamente.

Essa técnica é possível de acontecer devido ao lançamento de ataques DDoS e da perseguição contínua dos alvos.

Ataque DDoS significa “ataque distribuído de negação de serviço (DDoS)” e é um crime cibernético no qual o invasor inunda um servidor com tráfego da Internet para impedir que os usuários acessem serviços e sites online conectados.
(definição da Fortinet)

Além de um site dedicado ao vazamento de dados, as informações roubadas pelo REvil são publicadas em fóruns clandestinos e sites. Os ciberatacantes também entram em contato com clientes, parceiros de negócios e a mídia e, ainda, a leiloam os dados.

Todas as ações com um claro objetivo: obter vantagens financeiras de grandes corporações.

Quais são as ações recomendadas para evitar a reciclagem de ataques

Mesmo com a falência reconhecida em meados de 2021, voltou-se a observar ações do grupo cibercriminoso em maio de 2022

Segundo as fontes de uma plataforma de computação global, uma campanha DDoS reivindicada por um time chamado REvil indica que possa ter havido um reagrupamento com novos insights e estratégias de ação.

Para evitar que as organizações sejam alvo das atividades, contar com um parque de segurança, como o SOC (Security Operations Center / Centro de Operações de Segurança), é o mais recomendado.

Isso porque reúnem-se ferramentas de segurança, as quais são combinadas com monitoramento 24x7x365. Sob qualquer sinal de alerta os times agem rapidamente para bloquear as ameaças e minimizar potenciais riscos ao negócio.

Além de contar com identificação de perfil de ataque global. Ou seja, analisa-se os perfis de ações cibercriminosas em todo o mundo e compara-se a repetição de padrões, para que as equipes possam adicionar a inteligência aplicada a partir do reconhecimento de atuação de cada grupo cibercriminoso, bem como relacionar o comportamento com novas formas registradas.

Consulte agora um especialista