Últimas notícias

Fique informado

Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

21 de julho de 2021

Spotlight

O que é o open banking e como ele funciona

Saiba o que vai mudar na vida dos brasileiros com

14 de julho de 2021

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

O incidente na Kaseya resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

14 de julho de 2021

Marcelo Fernandes da FICO fala sobre a segunda fase do open banking

Em 15 de julho, os bancos passam a operar com sistemas abertos e clientes terão mais acesso aos serviços financeiros.

8 de julho de 2021

Novo serviço desenvolvido pelo ITI permite consultar certificados digitais emitidos pela ICP-Brasil

Os usuários de Certificados digitais da ICP – Brasil agora contam com mais um serviço, o Meu Certificado, com intuito de facilitar seu o uso

25 de junho de 2021

Todos os sites dos operadores do ransomware REvil saíram do ar na terça-feira passada

Carlos Cabral

O fato aconteceu em meio às investigações do incidente envolvendo a Kaseya, fabricante de produtos para o gerenciamento remoto de plataformas tecnológicas que sofreu um ataque envolvendo mais de mil outras empresas que dependem de seus sistemas. O assunto foi pauta desta coluna na semana passada.

As coisas já vinham se complicando para os criminosos envolvidos em ataques de double extortion, sobretudo desde maio, quando ocorreu o incidente na Colonial Pipeline – oleoduto que transporta 2.5 milhões de barris por dia e que é responsável pelo abastecimento de diesel, gasolina e combustível de aviação para 45% da costa leste dos Estados Unidos.

O caso acabou acarretando em desabastecimento não só devido ao fechamento do oleoduto, mas também por causa do desespero que acometeu parte da população da região a qual passou a estocar combustível.

O ataque contra o oleoduto fez com que parte dos operadores de ransomware ponderasse sobre a possibilidade de terem “pegado pesado demais”.

Isso se refletiu em um pronunciamento dos operadores do ransomware Darkside, responsáveis pelo ataque, dizendo que seriam “apolíticos“.

Ou seja, que só estavam interessados mesmo no dinheiro e não em sabotar o abastecimento de combustível nos Estados Unidos. 

Fóruns do underground também barraram discussões e negociações sobre ransomware e os operadores do REvil, que até então diziam que não havia limites para sua sede por acumular dinheiro dos ataques, emitiram novas regras aos seus associados, excluindo empresas da área de educação e de saúde, bem como qualquer entidade governamental de qualquer país dentre os alvos.

Mas “baixar a bola” não colaborou com o progresso destas quadrilhas e assim como ocorreu com o Darkside em maio, o ambiente do REvil foi desconectado.

Em matéria sobre o caso, o Washington Post elenca três explicações possíveis para o desaparecimento: a primeira seria uma suposta vitória da diplomacia americana e parte do pressuposto de que o Kremlin curvou-se à pressão da administração Biden, forçando o REvil a fechar sua operação. 

É verdade que os Estados Unidos têm elevado o tom com a Rússia a respeito desse tema, ele foi um dos principais assuntos tratados no recente encontro entre Biden e Putin em junho e também objeto de uma conversa de uma hora por telefone no dia 9 deste mês. Já tinha ficado evidente em entrevistas e também em outros estudos a alta probabilidade de que a base de operação do REvil estaria na Rússia.

A segunda teoria é a de que agentes americanos, cansados de esperar por uma ação da Rússia, hackearam os sites do REvil, os tirando do ar.

Essa teoria ganha eco entre as pessoas que pensam que a atual forma dos países lidarem com esse problema é lenta demais, portanto um fracasso da diplomacia, e que seria necessário combater o fogo com fogo.

Por fim, a terceira teoria é a de que a pressão ficou grande demais para os operadores do REvil que decidiram parar até a poeira baixar.

Isso faz sentido, pois só o fato de o assunto ter escalado para a pauta de reuniões de chefes de Estado denota que há centenas de agentes caçando estes criminosos.

Mas já ficou evidente que os operadores do REvil são extremamente gananciosos e que gostam de ostentar seus ganhos. De modo que, se estiverem se escondendo, não irão demorar em voltar, talvez com outra identidade.

Carlos Cabral

Carlos Cabral@kbralx

Pesquisador de Segurança na Tempest.

Escreve sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da cibersegurança. É um dos organizadores do livro “Trilhas em Segurança da Informação: Caminhos e ideias para a proteção de dados” e autor de diversos artigos e palestras sobre o tema.

Acumula mais de quinze anos de experiência na área de segurança da informação, atuando em empresas de serviços, telecomunicações, consultorias e no mercado financeiro. Possui formação em Computação Forense pela Universidade Presbiteriana Mackenzie e em Sociologia e Política pela Fundação Escola de Sociologia e Política de São Paulo.

É responsável pelo roteiro e apresentação do programa 0 News no canal Mente Binária no YouTube.

Acompanhe a Coluna de Carlos Cabral aqui no Crypto ID!

CarlosCabral@tutanota.com

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Up to 1,500 businesses infected in one of the worst ransomware attacks ever