Será que o 'REvil' é o Novo Ransomware GandCrab? – Krebs on Security
O grupo por trás do ransomware GandCrab anunciou sua aposentadoria, mas há evidências de que eles se reorganizaram sob o nome REvil (também conhecido como Sodin ou Sodinokibi). Este novo ransomware-as-a-service (RaaS) parece ser mais exclusivo e avançado.
MundiX News·13 de abril de 2026·7 min de leitura·👁 1 views
Os cibercriminosos por trás do ransomware-as-a-service (RaaS) GandCrab anunciaram recentemente que estavam encerrando as atividades e se aposentando após terem supostamente ganho mais de US$ 2 bilhões em pagamentos de extorsão de vítimas. Mas um crescente conjunto de evidências sugere que a equipe GandCrab, em vez disso, se reagrupou silenciosamente por trás de um programa de ransomware mais exclusivo e avançado conhecido como "REvil", "Sodin" e "Sodinokibi".
"Estamos tendo uma aposentadoria bem merecida", escreveram os administradores do GandCrab em sua mensagem de despedida em 31 de maio. "Somos uma prova viva de que você pode fazer o mal e sair impune."
No entanto, agora parece que a equipe GandCrab já havia começado os preparativos para mudar a marca sob uma oferta de ransomware-as-a-service muito mais privada, meses antes de sua "aposentadoria" oficial.
No final de abril, pesquisadores da Cisco Talos identificaram uma nova cepa de ransomware apelidada de Sodinokibi que foi usada para implantar o GandCrab, que criptografa arquivos em sistemas infectados, a menos e até que a vítima pague a quantia exigida. Um mês depois, o GandCrab anunciaria seu fechamento.
Página de pagamento para uma vítima do REvil, também conhecido como Sodin e Sodinokibi.
Enquanto isso, na primeira quinzena de maio, um indivíduo usando o apelido de "Unknown" começou a fazer depósitos totalizando mais de US$ 130.000 em moedas virtuais em dois dos principais fóruns de cibercrime. Os pagamentos iniciais tinham como objetivo demonstrar que o ator estava falando sério em sua oferta de contratar apenas alguns afiliados para impulsionar uma nova oferta de ransomware-as-a-service ainda não nomeada.
"Não vamos contratar o maior número possível de pessoas", disse Unknown aos membros do fórum ao anunciar o novo programa RaaS. "Mais cinco afiliados podem participar do programa e, em seguida, ficaremos fora do radar. Cada afiliado tem garantia de US$ 10.000. Sua parte é de 60% no início e 70% após os três primeiros pagamentos serem feitos. Cinco afiliados têm garantia de [USD] 50.000 no total. Trabalhamos há vários anos, especificamente cinco anos nesta área. Estamos interessados em profissionais."
Questionado pelos membros do fórum para nomear o serviço de ransomware, Unknown disse que ele havia sido mencionado em reportagens da mídia, mas que não divulgaria detalhes técnicos do programa ou seu nome por enquanto.
Unknown disse que era proibido instalar a nova cepa de ransomware em qualquer computador na Comunidade de Estados Independentes (CEI), que inclui Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tajiquistão, Turcomenistão, Ucrânia e Uzbequistão.
A proibição de espalhar malware em países da CEI tem sido um elemento básico de vários programas de afiliados de pagamento por instalação que são operados por criminosos residentes nessas nações. A ideia aqui é não atrair a atenção das autoridades locais respondendo a reclamações de vítimas (e/ou talvez para ficar fora do radar das autoridades fiscais e extorsionários em suas cidades natais).
Mas o Kaspersky Lab descobriu que o Sodinokobi/REvil também inclui outra nação em sua lista de países que os afiliados devem evitar infectar: a Síria. Curiosamente, as últimas versões do GandCrab tomaram a mesma medida incomum.
Qual é o significado da conexão com a Síria? Em outubro de 2018, um sírio tuitou que havia perdido o acesso a todas as fotos de seus filhos falecidos depois que seu computador foi infectado com o GandCrab.
"Eles querem 600 dólares para me devolver meus filhos, foi isso que eles fizeram, eles tiraram meus meninos de mim por um dinheiro sujo", escreveu a vítima. "Como posso pagar a eles 600 dólares se mal tenho dinheiro suficiente para colocar comida na mesa para mim e minha esposa?"
Esse apelo sincero aparentemente tocou o coração do(s) desenvolvedor(es) do GandCrab, que logo depois lançou uma chave de descriptografia que permitiu que todas as vítimas do GandCrab na Síria desbloqueassem seus arquivos gratuitamente.
Mas essa rara demonstração de misericórdia provavelmente custou caro aos administradores do GandCrab e seus afiliados. Isso porque uma semana depois que o GandCrab lançou as chaves de descriptografia para todas as vítimas na Síria, o projeto No More Ransom lançou uma ferramenta de descriptografia GandCrab gratuita desenvolvida pela polícia romena em colaboração com escritórios de aplicação da lei de vários países e a empresa de segurança Bitdefender.
Os operadores do GandCrab mais tarde disseram aos afiliados que o lançamento das chaves de descriptografia para vítimas sírias permitiu que a entropia usada pelo gerador de números aleatórios para a chave mestra do ransomware fosse calculada. Aproximadamente 24 horas depois que o NoMoreRansom lançou sua ferramenta gratuita, a equipe do GandCrab lançou uma atualização que a tornou incapaz de descriptografar arquivos.
Existem também semelhanças entre as maneiras como o GandCrab e o REvil geram URLs que são usados como parte do processo de infecção, de acordo com um relatório recente da empresa de segurança holandesa Tesorion.
"Embora as bases de código difiram significativamente, as listas de strings que são usadas para gerar os URLs são muito semelhantes (embora não idênticas), e há algumas semelhanças impressionantes em como essa parte específica do código funciona, por exemplo, na maneira um tanto rebuscada como o comprimento aleatório do nome do arquivo é recalculado repetidamente", observou Tesorion.
Meu palpite é que a equipe GandCrab não se aposentou e simplesmente se reagrupou e mudou de marca devido à grande atenção de pesquisadores de segurança e investigadores da lei. Parece altamente improvável que um grupo tão bem-sucedido de cibercriminosos simplesmente abandone uma empresa tão insanamente lucrativa.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Os cibercriminosos por trás do ransomware-as-a-service (RaaS) GandCrab anunciaram recentemente que estavam encerrando as atividades e se aposentando após terem supostamente ganho mais de US$ 2 bilhões em pagamentos de extorsão de vítimas. Mas um crescente conjunto de evidências sugere que a equipe GandCrab, em vez disso, se reagrupou silenciosamente por trás de um programa de ransomware mais exclusivo e avançado conhecido como "REvil", "Sodin" e "Sodinokibi".
"Estamos tendo uma aposentadoria bem merecida", escreveram os administradores do GandCrab em sua mensagem de despedida em 31 de maio. "Somos uma prova viva de que você pode fazer o mal e sair impune."
No entanto, agora parece que a equipe GandCrab já havia começado os preparativos para mudar a marca sob uma oferta de ransomware-as-a-service muito mais privada, meses antes de sua "aposentadoria" oficial.
No final de abril, pesquisadores da Cisco Talos identificaram uma nova cepa de ransomware apelidada de Sodinokibi que foi usada para implantar o GandCrab, que criptografa arquivos em sistemas infectados, a menos e até que a vítima pague a quantia exigida. Um mês depois, o GandCrab anunciaria seu fechamento.
Página de pagamento para uma vítima do REvil, também conhecido como Sodin e Sodinokibi.
Enquanto isso, na primeira quinzena de maio, um indivíduo usando o apelido de "Unknown" começou a fazer depósitos totalizando mais de US$ 130.000 em moedas virtuais em dois dos principais fóruns de cibercrime. Os pagamentos iniciais tinham como objetivo demonstrar que o ator estava falando sério em sua oferta de contratar apenas alguns afiliados para impulsionar uma nova oferta de ransomware-as-a-service ainda não nomeada.
"Não vamos contratar o maior número possível de pessoas", disse Unknown aos membros do fórum ao anunciar o novo programa RaaS. "Mais cinco afiliados podem participar do programa e, em seguida, ficaremos fora do radar. Cada afiliado tem garantia de US$ 10.000. Sua parte é de 60% no início e 70% após os três primeiros pagamentos serem feitos. Cinco afiliados têm garantia de [USD] 50.000 no total. Trabalhamos há vários anos, especificamente cinco anos nesta área. Estamos interessados em profissionais."
Questionado pelos membros do fórum para nomear o serviço de ransomware, Unknown disse que ele havia sido mencionado em reportagens da mídia, mas que não divulgaria detalhes técnicos do programa ou seu nome por enquanto.
Unknown disse que era proibido instalar a nova cepa de ransomware em qualquer computador na Comunidade de Estados Independentes (CEI), que inclui Armênia, Bielorrússia, Cazaquistão, Quirguistão, Moldávia, Rússia, Tajiquistão, Turcomenistão, Ucrânia e Uzbequistão.
A proibição de espalhar malware em países da CEI tem sido um elemento básico de vários programas de afiliados de pagamento por instalação que são operados por criminosos residentes nessas nações. A ideia aqui é não atrair a atenção das autoridades locais respondendo a reclamações de vítimas (e/ou talvez para ficar fora do radar das autoridades fiscais e extorsionários em suas cidades natais).
Mas o Kaspersky Lab descobriu que o Sodinokobi/REvil também inclui outra nação em sua lista de países que os afiliados devem evitar infectar: a Síria. Curiosamente, as últimas versões do GandCrab tomaram a mesma medida incomum.
Qual é o significado da conexão com a Síria? Em outubro de 2018, um sírio tuitou que havia perdido o acesso a todas as fotos de seus filhos falecidos depois que seu computador foi infectado com o GandCrab.
"Eles querem 600 dólares para me devolver meus filhos, foi isso que eles fizeram, eles tiraram meus meninos de mim por um dinheiro sujo", escreveu a vítima. "Como posso pagar a eles 600 dólares se mal tenho dinheiro suficiente para colocar comida na mesa para mim e minha esposa?"
Esse apelo sincero aparentemente tocou o coração do(s) desenvolvedor(es) do GandCrab, que logo depois lançou uma chave de descriptografia que permitiu que todas as vítimas do GandCrab na Síria desbloqueassem seus arquivos gratuitamente.
Mas essa rara demonstração de misericórdia provavelmente custou caro aos administradores do GandCrab e seus afiliados. Isso porque uma semana depois que o GandCrab lançou as chaves de descriptografia para todas as vítimas na Síria, o projeto No More Ransom lançou uma ferramenta de descriptografia GandCrab gratuita desenvolvida pela polícia romena em colaboração com escritórios de aplicação da lei de vários países e a empresa de segurança Bitdefender.
Os operadores do GandCrab mais tarde disseram aos afiliados que o lançamento das chaves de descriptografia para vítimas sírias permitiu que a entropia usada pelo gerador de números aleatórios para a chave mestra do ransomware fosse calculada. Aproximadamente 24 horas depois que o NoMoreRansom lançou sua ferramenta gratuita, a equipe do GandCrab lançou uma atualização que a tornou incapaz de descriptografar arquivos.
Existem também semelhanças entre as maneiras como o GandCrab e o REvil geram URLs que são usados como parte do processo de infecção, de acordo com um relatório recente da empresa de segurança holandesa Tesorion.
"Embora as bases de código difiram significativamente, as listas de strings que são usadas para gerar os URLs são muito semelhantes (embora não idênticas), e há algumas semelhanças impressionantes em como essa parte específica do código funciona, por exemplo, na maneira um tanto rebuscada como o comprimento aleatório do nome do arquivo é recalculado repetidamente", observou Tesorion.
Meu palpite é que a equipe GandCrab não se aposentou e simplesmente se reagrupou e mudou de marca devido à grande atenção de pesquisadores de segurança e investigadores da lei. Parece altamente improvável que um grupo tão bem-sucedido de cibercriminosos simplesmente abandone uma empresa tão insanamente lucrativa.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
