Grupo REvil encerra atividades após ataque a site na rede Tor
O grupo de ransomware “REvil” encontra-se novamente a encerrar as suas comunicações, juntamente com o website na rede Tor, depois de o mesmo ter sido acedido por uma pessoa ainda desconhecida – e informação interna do mesmo ter sido divulgada.
De acordo com o portal BleepingComputer, os atacantes terão conseguido obter as chaves privadas do site, copiando o acesso do mesmo na rede Tor. Ao contrário do que acontece na maioria dos serviços web, na rede Tor os domínios .ONION são gerados usando uma chave pública e privada. A chave privada deve ser mantida sobre o controlo dos administradores dos sites, de forma a garantir que mais ninguém pode criar o seu próprio domínio.
Se essa chave for obtida, qualquer um pode criar o seu website usando esse domínio ONION, e basicamente passa a ter controlo para obter acesso a várias informações enviadas para o mesmo. Foi exatamente isso que parece ter ocorrido com o website do grupo REvil, no qual um atacante ainda desconhecido terá conseguido obter a chave privada do site.
Segundo “0_neday”, um dos únicos conhecidos gestores do grupo, os servidores da plataforma terão sido comprometidos por uma “fonte desconhecida”, e que as atividades do grupo seria, portanto, inteiramente suspensas. Os dados que se encontravam nos servidores podem igualmente ter sido comprometidos.
Ainda se desconhecem que realmente acedeu aos servidores do grupo, mas tendo em conta que o mesmo tem estado sobre forte análise das autoridades nos últimos tempos, existe uma forte possibilidade que tenha sido uma atividade feita pelas mesmas. Ainda de forma recente a empresa de segurança Bitdefender, com a ajuda das autoridades, lançou uma ferramenta para desencriptar conteúdos associados ao ransomware do grupo.
Tendo em conta que o grupo tem vindo a ter dificuldades para manter as suas atividades de ransomware ativas, existe uma forte possibilidade que esta tenha sido a última ação do mesmo na Internet, e que vejamos o REvil a deixar de todo as suas atividades de ransomware. No entanto, existe sempre a possibilidade de alguma variante do mesmo voltar a surgir pela internet.