Vítimas poderão recuperar arquivos sem pagar o resgate. Sistemas brasileiros também foram atacados, segundo investigadores. Sites do vírus Avaddon foram retirados do ar e chaves de decifragem foram enviadas a especialistas.
Armin Hanisch/Freeimages.com
Especialistas identificaram que os servidores da infraestrutura do vírus de resgate Avaddon não estão mais disponíveis e que o site na "deep web" usado para negociar os pagamentos também foi retirado do ar, indicando que as operações foram encerradas.
O conteúdo publicado por perfis que os criadores do vírus mantinham em fóruns de hackers também foi eliminado.
Um arquivo contendo 2.934 chaves de decifragem também foi enviado ao site "Bleeping Computer", que é especializado em segurança e tem destaque na cobertura de ataques desse tipo de praga digital. A mensagem tinha um remetente anônimo.
Os vírus de resgate embaralham os arquivos dos sistemas atacados e exigem que a vítima pague para receber uma ferramenta capaz de desfazer o estrago. No entanto, com as chaves divulgadas, é possível criar uma ferramenta que recupere os dados sem o pagamento.
Esse trabalho já foi realizado pela Emsisoft, que colocou a ferramenta em seu site. A ferramenta também poderá ser sugerida pelo site "No More Ransom", caso ele identificar um arquivo cifrado pelo Avaddon.
É possível recuperar arquivos sequestrados por vírus de resgate?
Segundo autoridades policiais nos Estados Unidos e na Austrália, que compilaram uma lista de países atacados pelo Avaddon, os hackers atingiram alvos no Brasil.
Segundo a empresa de segurança Cybereason, os hackers enviavam e-mails com anexos de extensão dupla (como ".jpg.zip") para confundir o destinatário e conseguir uma porta de entrada para a rede das empresas.
O Avaddon pertence ao grupo de vírus de resgate que tentam extrair dados dos sistemas das vítimas e ameaçam vazar as informações caso o pagamento seja negado.
Sendo assim, a recuperação dos sistemas nem sempre é o suficiente para anular o prejuízo causado pelo vírus.
Contudo, a queda do site onde o Avaddon listava suas vítimas também significa que essas informações não estão mais acessíveis, embora seja possível que elas voltem ao ar em outro canal.
Além do Brasil, da Austrália e dos Estados Unidos, o vírus também atingiu diversos países na Europa e no Oriente Médio.
Site do Avaddon onde vítimas podiam obter informações específicas e negociar pagamento com criminosos.
Reprodução/Cybereason
Atividade encerrada após um ano
O Avaddon foi descoberto em junho de 2020, mas não chamou muita atenção até maio de 2021, quando o FBI e a polícia australiana publicaram o alerta sobre a atividade dos criminosos.
Segundo dados da empresa de segurança Recorded Future, o Avaddon se tornou um dos vírus mais ativos após esse aumento nos ataques – até ele ser repentinamente desativado.
Ainda de acordo com a empresa, os hackers haviam anunciado a pretensão de mudar o funcionamento do ransomware para um modelo "privado", abandonando o formato "ransomware como serviço", em que muitos criminosos podem atuar para instalar o vírus nas redes de empresas.
Alguma mudança no vírus de resgate já era esperada após essa movimentação, mas não havia indícios de que a operação seria definitivamente encerrada.
É o segundo vírus de resgate que encerra suas operações em pouco mais de um mês. Pouco após atacar o oleoduto da Colonial Pipeline nos Estados Unidos, os operadores do vírus DarkSide também "fecharam as portas", alegando pressão das autoridades.
Especialistas chegaram a cogitar a possibilidade de que os responsáveis pelo DarkSide teriam tentado fugir com o dinheiro para dar "calote" nos "afiliados" que ainda deveriam receber sua comissão referente aos ataques que ajudaram a realizar.
O FBI revelou depois que estava de fato monitorando esses invasores e que conseguiu interceptar as criptomoedas pagas como resgate pela Colonial Pipeline. Porém, nenhuma prisão foi realizada.
Criadores de vírus que atacou oleoduto nos EUA anunciam fim das operações e prometem recuperação de arquivos
EUA recuperam US$ 2,3 milhões em criptomoedas pagos a hackers que atacaram oleoduto da Colonial Pipeline
Após ataque à JBS, EUA concentram combate a extorsão digital em força-tarefa e acenam pressão contra a Rússia
Dúvidas sobre segurança, hackers e vírus? Envie para
[email protected]Veja dicas para se manter seguro on-line