A recente sentença de quatro membros do grupo de ransomware REvil, proferida por um tribunal russo, não está relacionada com os ataques de grande escala e elevado perfil que tornaram o grupo conhecido antes do seu desmantelamento em 2021.

Os arguidos — Muromsky, Bessonov, Golovachuk e Korotaev — foram detidos em janeiro de 2022, numa operação mais ampla das autoridades russas que culminou na prisão de 14 membros do grupo, após pressões do governo norte-americano. Washington havia alertado que tomaria medidas diretas contra grupos de ransomware russos caso o Kremlin não agisse.

Segundo a agência estatal russa TASS, os quatro admitiram envolvimento nas atividades da REvil entre outubro de 2015 e janeiro de 2022, com foco em alvos norte-americanos. Entre os crimes cometidos, destaca-se o “carding” — esquema fraudulento baseado na utilização de dados de cartões de crédito roubados para adquirir cartões-presente pré-pagos e proceder à lavagem de dinheiro.

O tribunal ordenou ainda a apreensão de bens valiosos. Bessonov perdeu dois BMW de 2020, enquanto a Korotaev foram confiscados um Mercedes-Benz C200 de 2019 e mais de um milhão de dólares (em moeda norte-americana e rublos). As penas aplicadas não incluíram multas adicionais.

Outros quatro membros do grupo — Daniil Puzyrevsky, Artem Zayets, Alexey Malozemov e Ruslan Khansvyarov — foram condenados em outubro a penas de prisão até seis anos e meio. Até ao momento, não há indícios de que qualquer um dos detidos tenha sido, ou venha a ser, extraditado para os Estados Unidos.

As organizações atacadas pelo grupo de ransomware REvil poderiam ter adotado várias medidas de prevenção e resposta para minimizar o risco e o impacto dos ataques. Por exemplo:

1. Reforçar a Cibersegurança Básica
Atualizações regulares de software: Aplicar patches de segurança em sistemas operativos, actualizar sistemas descontinuados, upgrade a software de terceiros e a dispositivos de rede para corrigir vulnerabilidades.
Desativação de serviços não utilizados: Minimizar a superfície de ataque ao desabilitar protocolos desnecessários (ex.: RDP aberto sem VPN).

2. Autenticação Forte e Gestão de Acessos
Autenticação multifator (MFA): Especialmente para acessos remotos e contas privilegiadas.
Princípio do menor privilégio: Os utilizadores devem ter apenas os acessos estritamente necessários às suas funções.
Auditorias regulares de contas: Detetar contas inativas, mal configuradas ou comprometidas.

3. Monitorização e Resposta a Incidentes
Soluções EDR/XDR: Ferramentas modernas de deteção e resposta em endpoints para identificar comportamentos maliciosos.
SIEM: Sistemas de informação e gestão de eventos de segurança para correlação de logs e alertas.
Simulações de ataque (Red Team): Testar a resiliência através de exercícios controlados.

4. Cópias de Segurança (Backups)
Backups regulares, isolados e testados regularmente: Garantir cópias completas e incrementais, armazenadas fora da rede (offline ou em cloud segura).
Procedimentos de restauro: Testar periodicamente a recuperação de dados em backup.

5. Sensibilização e Formação
Campanhas internas regulares contra phishing: O REvil frequentemente acedia redes através de e-mails fraudulentos.
Formação contínua para funcionários e técnicos de TI

6. Planeamento de Continuidade e Resiliência
Plano de resposta a incidentes: Com equipas designadas, fluxos de decisão e contacto com autoridades.
Simulações de cibercrises: Ensinar a organização a reagir com rapidez e coordenação.

Nota:
Um dos vetores de entrada mais comuns usados pelo REvil era o Remote Desktop Protocol (RDP) mal protegido. Organizações que expunham RDP diretamente à internet, sem autenticação multifator ou controlo de IPs, eram alvos fáceis. Com medidas como VPN obrigatória + MFA + segmentação de rede, o risco cairia drasticamente.