O intenso escrutínio que se seguiu ao ataque do Colonial Pipeline perturbou claramente os grupos de ransomware. Esta semana, os operadores por trás de duas grandes plataformas de ransomware em russo, REvil e Avaddon, anunciaram novas regras estritas que regem o uso de seus produtos, incluindo proibições de almejar entidades afiliadas ao governo, hospitais ou instituições educacionais.
O administrador do XSS, um fórum popular sobre crimes cibernéticos em russo, anunciou a proibição imediata de todas as atividades de ransomware no fórum, citando, entre outras coisas, a má imprensa associada ao setor. Em um comunicado postado no fórum, o administrador chamou a atenção para uma “massa crítica de danos, absurdos, exageros e barulho”, e disse que até o porta-voz do presidente Vladimir V. Putin da Rússia interveio no ataque Colonial Pipe. (O porta-voz, Dmitri S. Peskov, negou que o Kremlin estivesse envolvido no ataque ao oleoduto.)
“A palavra resgate foi associada a uma série de coisas desagradáveis: geopolítica, chantagem, ciberataques do governo”, escreveu o administrador do XSS. “Esta palavra se tornou perigosa e tóxica.”
Mesmo que o DarkSide tenha sido encerrado, a ameaça do ransomware não passou. As redes de cibercriminosos muitas vezes se dissolvem, se reagrupam e se renomeiam em um esforço para se livrar da aplicação da lei, dizem especialistas em segurança cibernética.
“É provável que esses operadores de ransomware estejam tentando se retirar dos holofotes, em vez de descobrir repentinamente o erro de seus métodos”, disse Mark Arena, CEO da Intel 471. “É muito provável que vários dos operadores continuem a operar em seus próprios grupos muito unidos, ressurgindo com diferentes pseudônimos e nomes de ransomware ”.
Na verdade, o DarkSide não deu nenhuma indicação de que seus membros estavam saindo do negócio de ransomware ou mesmo que as vítimas atualmente infectadas com o malware do grupo escaparam do gancho. Em seu comunicado, o DarkSide disse que entregaria suas ferramentas de descriptografia a afiliados, dando a esses intermediários, responsáveis por infectar os sistemas de computador com o software malicioso do grupo, a capacidade de negociar resgates diretamente com as vítimas.
“Ferramentas de descriptografia serão fornecidas para todas as empresas que ainda não pagaram”, diz o comunicado. “Depois disso, você pode se comunicar com eles onde e como quiser.”
Julian Barnes relatórios contribuídos.