A Europol prendeu novos membro do grupo de ransomware REvil, uma gangue que atua com esse nome desde 2019 e foi responsável por inúmeros ataques a empresas de diversos setores em todo o mundo. É importante lembrar que muitas famílias de ransomware operam com um modelo denominado Ransomware-as-a-Service, no qual os desenvolvedores de ransomware recrutam membros para realizar ataques usando malware em troca de uma porcentagem dos lucros obtidos.
Inicialmente, a Europol prendeu dois suspeitos na Romênia em 4 de novembro, acusados de realizar 5 mil ataques com o ransomware REvil, também conhecido como Sodinokibi. Naquele mesmo dia, as autoridades do Kuwait prenderam um suposto membro do ransomware GandCrab, que se acredita ter sido operado pelos mesmos membros do REvil antes de 2019. No início de outubro, eles já haviam prendido um membro de nacionalidade ucraniana na fronteira com a Polônia após um mandado de prisão dos Estados Unidos por ser suspeito de realizar o ataque à Kaseya, que afetou mais de 1.500 empresas e no qual os cibercriminosos exploraram uma vulnerabilidade zero-day no software Kaseya VSA. Na ocasião, os atacantes exigiram o pagamento de um resgate no valor de US$70 milhões em troca de um descriptografador . No total, junto com outros três detidos pelas autoridades sul-coreanas entre fevereiro e outubro de 2021, sete membro do grupo de ransomware REvil foram presos apenas este ano.
Veja mais: 5 dicas para evitar ser vítima de um ataque de ransomware
Ações para impedir o avanço do ransomware
Segundo a Europol, esse é o resultado de uma operação chamada GoldDust que envolve o trabalho conjunto de 17 países, INTERPOL, Europol e Eurojust. O ransomware tem aumentado suas atividades e seu impacto tem sido significativo desde o início de 2020, tornando-se uma das principais ameaças cibernéticas.
Por sua vez, o governo dos Estados Unidos lançou um programa de recompensa que oferece US$ 10 milhões por informações que identifiquem ou localizem os líderes do grupo por trás do ransomware REvil e US$ 5 milhões por informações que levem a membros do grupo. Há poucos dias, as autoridades dos EUA lançaram um programa semelhante para obter informações sobre o grupo por trás do ransomware DarkSide e, em julho, deu início a outro programa que oferece uma recompensa por informações relacionadas a ataques cibernéticos a infraestruturas críticas no país.
Essas ações refletem a intenção de investigar e prender operadores de grupos de ransomware. Nos Estados Unidos, após o ataque à rede de oleoduto Colonial Pipeline pelo ransomware DarkSide, as autoridades destacaram sua intenção de tomar medidas para combater esses grupos de ameaças e trabalhar em conjunto. Poucos dias atrás, como parte de uma iniciativa do governo dos Estados Unidos, autoridades, agências de aplicação da lei e centros de resposta a incidentes em mais de 30 países se comprometeram a tomar medidas contra o ransomware e, dessa forma, compartilhar informações sobre as vítimas da ameaça.
O presidente dos EUA, Joe Biden, afirmou em um comunicado divulgado pela Casa Branca no último dia 8 de novembro que “estamos dedicando todos os esforços por parte do governo federal para impedir atividades maliciosas e criadores de ameaças, trabalhar contra a utilização de criptomoedas para lavar dinheiro de grupos de ransomware e levar a diante o trabalho de cooperação internacional para tentar afetar o ecossistema que permite que os cibercriminosos operem. Embora ainda haja muito a ser feito, demos passos importantes para proteger nossas infraestruturas críticas e trabalhar de forma conjunta com nossos parceiros e aliados para desmontar as operações de redes de grupos de ransomware, disse o presidente.
Veja mais: Ransomware: pagar ou não pagar? é legal ou ilegal?