Investigadores alemães identificam membro central da gangue de ransomware REvil

Investigadores alemães identificaram um homem russo que eles acreditam ser um dos principais membros da gangue de ransomware REvil, um dos grupos de ransomware mais notórios e bem-sucedidos nos últimos anos.

O homem está se apresentando como um investidor e comerciante de criptomoedas, mas as autoridades alemãs (incluindo Bundeskriminalamt e Landeskriminalamt Baden-Württemberg) pensam de outra forma depois de rastrear alguns dos pagamentos de Bitcoin que ele fez ao longo dos anos.

Embora a identidade real do suspeito não tenha sido revelada,  a mídia alemã  está chamando-o pelo nome fictício de ‘Nikolay K.’, e relatam que os investigadores o vincularam a pagamentos de resgate em Bitcoin associados ao grupo de ransomware GandCrab.

A polícia rastreou esses pagamentos após ataques contra uma empresa de desenvolvimento de software e o State Theatre em Stuttgart.

As mesmas fontes afirmam que os investigadores encontraram fortes ligações entre REvil e GandCrab, algo que foi sugerido inúmeras vezes por pesquisadores e analistas de segurança.

Nikolay K. não se conteve quando se tratou de se gabar nas redes sociais e divulgar suas férias no Mediterrâneo, postando imagens de festas luxuosas em iates.

Mas ele não foi cuidadoso o suficiente quando se tratou de esconder sua verdadeira identidade, presumindo falsamente que mascarar seus links para operações de ransomware com investimento de criptografia seria o suficiente.

Rastreado usando um endereço de e-mail

Conforme os detalhes dos relatórios , a polícia conseguiu encontrar o endereço de e-mail de Nikolay, que ele usou para registrar em mais de 60 sites, bem como um número de telefone que ele usou para sua conta no Telegram.

Essa conta foi supostamente usada para transações criptográficas legítimas, mas a polícia foi capaz de vincular várias transações no valor de mais de 400.000 euros em criptografia a eventos de pagamento de resgate.

Desde a repressão à infraestrutura de REvil, há duas semanas, os membros do grupo têm sido extremamente cautelosos, mas parece que Nikolay não sabia o quão perto os investigadores realmente estavam de prendê-lo.

Neste verão, a esposa de Nikolay viajou de férias sozinha, enquanto os atores do ransomware permaneceram na Rússia, possivelmente para evitar quaisquer prisões inesperadas enquanto estivessem em terras estrangeiras.

Nem a Polícia Federal Criminal de Baden-Württemberg nem o Ministério Público de Estugarda comentaram se já emitiram um pedido de extradição para a Rússia, por isso ainda estamos à espera de uma confirmação oficial do anterior.

Considerando as dimensões que a ameaça do ransomware assumiu no mais alto nível político , seria uma surpresa ver os russos negando a acusação de Nikolay.

Correção 28/10/21: Esclarecido que ‘Nikolay K’ é um nome fictício e que a identidade real não foi revelada.

Fonte: https://www.bleepingcomputer.com/