Sumiço do REvil pode ser fruto tanto do sucesso, quanto do fracasso da diplomacia

Todos os sites dos operadores do ransomware REvil saíram do ar na terça-feira passada

Carlos Cabral

O fato aconteceu em meio às investigações do incidente envolvendo a Kaseya, fabricante de produtos para o gerenciamento remoto de plataformas tecnológicas que sofreu um ataque envolvendo mais de mil outras empresas que dependem de seus sistemas. O assunto foi pauta desta coluna na semana passada.

As coisas já vinham se complicando para os criminosos envolvidos em ataques de double extortion, sobretudo desde maio, quando ocorreu o incidente na Colonial Pipeline – oleoduto que transporta 2.5 milhões de barris por dia e que é responsável pelo abastecimento de diesel, gasolina e combustível de aviação para 45% da costa leste dos Estados Unidos.

O caso acabou acarretando em desabastecimento não só devido ao fechamento do oleoduto, mas também por causa do desespero que acometeu parte da população da região a qual passou a estocar combustível.

O ataque contra o oleoduto fez com que parte dos operadores de ransomware ponderasse sobre a possibilidade de terem “pegado pesado demais”.

Isso se refletiu em um pronunciamento dos operadores do ransomware Darkside, responsáveis pelo ataque, dizendo que seriam “apolíticos“.

Ou seja, que só estavam interessados mesmo no dinheiro e não em sabotar o abastecimento de combustível nos Estados Unidos. 

Fóruns do underground também barraram discussões e negociações sobre ransomware e os operadores do REvil, que até então diziam que não havia limites para sua sede por acumular dinheiro dos ataques, emitiram novas regras aos seus associados, excluindo empresas da área de educação e de saúde, bem como qualquer entidade governamental de qualquer país dentre os alvos.

Mas “baixar a bola” não colaborou com o progresso destas quadrilhas e assim como ocorreu com o Darkside em maio, o ambiente do REvil foi desconectado.

Em matéria sobre o caso, o Washington Post elenca três explicações possíveis para o desaparecimento: a primeira seria uma suposta vitória da diplomacia americana e parte do pressuposto de que o Kremlin curvou-se à pressão da administração Biden, forçando o REvil a fechar sua operação. 

É verdade que os Estados Unidos têm elevado o tom com a Rússia a respeito desse tema, ele foi um dos principais assuntos tratados no recente encontro entre Biden e Putin em junho e também objeto de uma conversa de uma hora por telefone no dia 9 deste mês. Já tinha ficado evidente em entrevistas e também em outros estudos a alta probabilidade de que a base de operação do REvil estaria na Rússia.

A segunda teoria é a de que agentes americanos, cansados de esperar por uma ação da Rússia, hackearam os sites do REvil, os tirando do ar.

Essa teoria ganha eco entre as pessoas que pensam que a atual forma dos países lidarem com esse problema é lenta demais, portanto um fracasso da diplomacia, e que seria necessário combater o fogo com fogo.

Por fim, a terceira teoria é a de que a pressão ficou grande demais para os operadores do REvil que decidiram parar até a poeira baixar.

Isso faz sentido, pois só o fato de o assunto ter escalado para a pauta de reuniões de chefes de Estado denota que há centenas de agentes caçando estes criminosos.

Mas já ficou evidente que os operadores do REvil são extremamente gananciosos e que gostam de ostentar seus ganhos. De modo que, se estiverem se escondendo, não irão demorar em voltar, talvez com outra identidade.

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

Up to 1,500 businesses infected in one of the worst ransomware attacks ever