pinchy-spider - RunkIntel

# Pinchy Spider (REvil / GandCrab) > [!danger] Russia RaaS - 50% do Mercado Global de Ransomware no Pico > Pinchy Spider e o grupo russo por tras do GandCrab (2018-2019) e do REvil/Sodinokibi (2019-2022) - a dupla de ransomware mais lucrativa da historia. O grupo atacou JBS (maior processadora de carne do mundo, R$ 60 milhões pagos), Kaseya VSA (1.500 empresas afetadas, U$ 70 milhões exigidos) e tentou extorquir a Apple por U$ 50 milhões via roubo de dados da Quanta Computer. O FSB russo desmantelou o grupo em janeiro de 2022 após pressao direta do governo Biden. ## Visão Geral Pinchy Spider (CrowdStrike) / GOLD SOUTHFIELD (SecureWorks) e um grupo criminoso russo especializado no desenvolvimento e operação de **Ransomware-as-a-Service (RaaS)** - o modelo onde o grupo desenvolve o ransomware e recruta "afiliados" para executar ataques, compartilhando os lucros (tipicamente 70-80% para o afiliado, 20-30% para o grupo). O grupo passou por duas geracoes de ransomware: - **GandCrab (ján 2018 - maio 2019):** primeiro grande sucesso do RaaS moderno, estimado em mais de U$ 2 bilhoes em resgates em 18 meses - **REvil / Sodinokibi (abr 2019 - ján 2022):** evolução direta com código parcialmente compartilhado, aprimorando o modelo de dupla extorcao (criptografia + ameaça de vazamento) No pico das operações, o IBM Security X-Force estimava que **1 em cada 3 ataques de ransomware investigados** eram causados por REvil. O grupo controlava estimados **50% do mercado global de RaaS**. **Status atual:** DISRUPTED - FSB russo desmantelou as redes do grupo em janeiro de 2022 e prendeu 14 membros, confiscando mais de U$ 6 milhões em criptomoedas, 426 milhões de rublos, 20 carros de luxo e equipamentos. A operação foi descrita como resposta a pressao diplomatica americana direta. ## Evolução GandCrab para REvil ```mermaid graph TB A["GandCrab v1 Janeiro 2018 Primeiro grande RaaS moderno"] --> B["GandCrab v2-v5 2018-2019 Iteracoes rapidas, anti-AV"] B --> C["GandCrab Retirement Maio 2019 2+ bilhoes em resgates declarados"] C --> D["REvil / Sodinokibi Abril 2019 - lancamento paralelo Código parcialmente compartilhado"] D --> E["REvil v2 2020 Dupla extorcao + Happy Blog"] E --> F["Kaseya + JBS 2021 Pico de operacoes 50% mercado RaaS global"] F --> G["Shutdown Julho 2021 Pressao Biden-Putin Grupo some da internet"] G --> H["FSB Raids Janeiro 2022 14 presos, 25 enderecos Infraestrutura desmantelada"] style A fill:#1a3a5c,color:#fff style B fill:#2471a3,color:#fff style C fill:#1e8449,color:#fff style D fill:#e67e22,color:#fff style E fill:#c0392b,color:#fff style F fill:#922b21,color:#fff style G fill:#8e44ad,color:#fff style H fill:#7d6608,color:#fff ``` ## Ataques de Destaque | Alvo | Data | Resgaté | Impacto | | ---- | ---- | ------- | ------- | | Light S.A. (Brasil) | 2020 | U$ 14 milhões | Maior empresa de energia eletrica do Rio de Janeiro | | Quanta Computer / Apple | Abr 2021 | U$ 50 milhões | Esquematicos de produtos Apple antes do lancamento | | JBS (maior processadora carne) | Mai 2021 | U$ 11 milhões pagos | Shutdown de todas as plantas de carne bovina nos EUA | | Kaseya VSA | Jul 2021 | U$ 70 milhões | 30 MSPs, 1.500 empresas afetadas downstream | ## Attack Flow - Ataque via Kaseya VSA ```mermaid graph TB A["Vulnerabilidade Zero-Day CVE-2021-30116 no Kaseya VSA SQL injection + bypass auth"] --> B["Comprometimento de MSPs 30 Managed Service Providers Via plataforma de gerenciamento"] B --> C["Propagação Downstream 1.500 empresas clientes Payload via update management"] C --> D["REvil Deployment T1486 Criptografia de dados T1490 Delecao de shadow copies"] D --> E["Dupla Extorcao Criptografia + exfiltração Happy Blog como ameaça"] E --> F["Demanda de Resgaté U$ 70 milhoes para decryptor universal Cobranca por vitima também"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2471a3,color:#fff style E fill:#1a3a5c,color:#fff style F fill:#7d6608,color:#fff ``` ## Modelo de Negocio RaaS O modelo de negocio do Pinchy Spider foi pioneiro em sofisticacao operacional para ransomware: - **Afiliados:** grupo recrutava "parceiros" com acesso a redes corporativas para executar os ataques - **Divisao de receita:** 70% para afiliado, 30% para desenvolvedores (variao em função do volume) - **Servicos incluidos:** suporte tecnico 24/7 para vitimas pagarem, negociacao, decryptors garantidos - **Happy Blog:** plataforma pública para vazar dados de vitimas que recusam pagar - dupla extorcao - **Restricoes:** grupo proibia ataques a Russia, Ucrania e paises da CEI - evidência de nexo russo ## TTPs Detalhadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - criptografia de arquivos com chave RSA-2048 assimetrica - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - zero-days em Kaseya VSA e Oracle WebLogic - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - vetores de infecção via afiliados - [[t1078-valid-accounts|T1078 - Valid Accounts]] - compra de acesso em markets como Genesis e RussianMarket - [[t1021-001-remote-desktop-protocol|T1021.001 - RDP]] - movimento lateral e acesso inicial via RDP exposto - [[t1059-001-powershell|T1059.001 - PowerShell]] - execução de payloads e desativacao de defesas - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - desativacao de AV e EDR antes da criptografia - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - delecao de shadow copies para impedir recuperacao - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - exfiltração de dados para ameaça de vazamento (dupla extorcao) ## Software Utilizado - [[gandcrab|GandCrab]] - ransomware da primeira fase (ján 2018 - mai 2019), >U$ 2B em resgates - [[s0496-revil|REvil]] - ransomware da segunda fase (abr 2019 - ján 2022), dupla extorcao, Happy Blog - [[s0154-cobalt-strike|Cobalt Strike]] - ferramenta C2 usada por afiliados para movimentação lateral pre-ransomware ## Relevância para o Brasil e LATAM O Brasil foi alvo documentado de Pinchy Spider: em 2020, o grupo atacou a **Light S.A.** (Enel Brasil pre-aquisicao) - a maior empresa de energia eletrica do Rio de Janeiro - exigindo **U$ 14 milhões de resgaté**. Este e um dos ataques de ransomware mais significativos contra infraestrutura energetica brasileira documentados públicamente. O modelo RaaS implica que a ameaça nao desapareceu com o desmantelamento do grupo em 2022. Afiliados do REvil migraram para outras plataformas RaaS (LockBit, BlackCat/ALPHV, Cl0p). O código do REvil foi vazado e reutilizado por grupos subsequentes. Setores de maior risco no Brasil: - Utilities eletricos e oil & gas (alvos historicos do REvil) - Processadoras de alimentos e agronegocio (padrao JBS) - MSPs e empresas de TI que gerenciam infraestrutura de clientes (padrao Kaseya) > [!warning] Legado REvil Persiste via Afiliados > O desmantelamento do Pinchy Spider nao eliminou a ameaça. Afiliados migraram para outras plataformas RaaS. Organizacoes brasileiras devem auditar sua exposicao RDP, segmentar redes, implementar EDR com proteção anti-ransomware e garantir backups imutaveis offline - as medidas mais eficazes contra o padrao de ataque do grupo. ## Investigacoes e Operacoes de Aplicação da Lei - **Novembro 2021:** DOJ indict Yaroslav Vasinskyi (ucraniano, ataque Kaseya) e Yevgeniy Polyanin (russo, ataques Texas) - **Novembro 2021:** Europol, Eurojust e INTERPOL - Operação GoldDust - 5 presos (REvil), 2 presos (GandCrab) - **Janeiro 2022:** FSB russo desarticula REvil - 14 presos, 25 enderecos, U$ 6M+ confiscados - **Janeiro 2022:** Colonial Pipeline - um dos presos identificado como responsavel pelo incidente ## Detecção e Hunting - Alertar para RDP exposto sem MFA - vetor mais comum dos afiliados REvil - Monitorar delecao massiva de shadow copies via vssadmin.exe ou PowerShell - Detectar desativacao de Windows Defender / EDR por processos nao autorizados - Hunting por REvil IoCs: chaves de registro `SOFTWARE\BlackLivesMatter` (flag de execução única) - Monitorar criptografia massiva de arquivos: I/O anormal de disco em processo nao-backup - Detectar exfiltração antes da criptografia: transferencias volumosas para endpoints externos ## Referências - [1](https://www.crowdstrike.com/en-us/adversaries/pinchy-spider/) CrowdStrike - PINCHY SPIDER Adversary Profile (2026) - [2](https://www.cbsnews.com/news/ransomware-russia-arrests-revil/) CBS News - Russia FSB Takes Down REvil Gang (2022) - [3](https://www.securityweek.com/fbi-confirms-revil-ransomware-involved-jbs-attack/) SecurityWeek - FBI Confirms REvil Ransomware Involved in JBS Attack (2021) - [4](https://en.wikipedia.org/wiki/REvil) Wikipedia - REvil Ransomware Group - [5](https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/russias-fsb-takes-down-revil-cyber-gang-in-an-unprecedented-series-of-raids/) Trustwave - Russia FSB Takes Down REvil in Unprecedented Raids (2022) - [6](https://www.corvusinsurance.com/blog/cybercriminals-in-the-news) Corvus Insurance - REvil and GandCrab Cybercriminal Timeline (2022)