Alemanha identifica membro da gangue de ransomware REvil

1 min de leitura
Imagem de: Alemanha identifica membro da gangue de ransomware REvil
Imagem: Pixabay
Avatar do autor

Investigadores da Alemanha identificaram um suspeito de integrar a gangue de cibercrimes conhecida como REvil, especializada em ataques da modalidade ransomware contra grandes corporações.

Segundo o jornal Zeit, o grupo do Escritório Estatal de Polícia Criminal de Baden-Württemberg está certo de que um homem de origem russa chamado Nikolay K. é um dos responsáveis por infectar servidores e extorquir companhias para liberar o resgate de redes inteiras sequestradas pelo grupo.

Como ele foi encontrado?

O trabalho dos investigadores envolveu rastrear negociações feitas com criptomoedas, que é a atividade profissional que Nikolay usa para acobertar o valor obtido com os ransomwares, e monitorar redes sociais.

Apesar de manter as atividades criminosas escondidas, o padrão de vida cheio de ostentação de Nikolay chamou atenção dos investigadores. Em plataformas como o Instagram, ele aparece em viagens pela Europa e alugando iates para passeio.

O suspeito ainda mantinha um endereço de email vinculado ao registro de ao menos 60 domínios e um número de telefone que, além de estar vinculado a uma conta no Telegram, era usado como contato para transações de criptomoedas. Ao identificar as transações, os investigadores encontraram indícios de que suas contas traziam criptomoedas originárias de pagamentos de resgates junto de investimentos comuns. Uma dessas operações criminosas envolveu uma empresa e um órgão público na cidade alemã de Stuttgart, na Alemanha, o que acionou as investigações no país.

O fim do REvil?

Agora, as autoridades devem iniciar negociações com o governo russo para identificar o paradeiro de Nikolay e buscar uma extradição para que ele seja julgado.

O REVil foi o responsável por invasões de grande porte nos últimos meses, incluindo o ransomware que atingiu a brasileira JBS e 1,5 mil empresas ligadas à desenvolvedora Kaseya.

A equipe chegou a tirar um período de descanso das atividades e até teve chaves de descriptografia vazadas, mas retornou na metade de 2021. Mais recentemente, uma operação de órgãos de cibersegurança atacou os servidores mantidos pela gangue para tentar desmantelar as suas operações.