La Banda Del Ransomware REvil "Ha Desaparecido" De Internet
REvil se ha evaporado repentinamente de Internet esta semana. Esta mafia es responsable de la friolera del 42% de todos los ataques de ransomware de los últimos tiempos, siendo el de Kaseya a principios de este mes el más reciente. Tras meses causando el caos en multinacionales y gobiernos, la mafia conocida como REvil se ha ido sin dejar huella: se han evaporado sus sitios en la dark web, su página de información para pagar las extorsiones y todas sus filtraciones públicas.
Algunas explicaciones barajan que es posible que la propia banda haya optado por retirarse si han ganado suficiente dinero o han sentido demasiada presión. Los más optimistas se inclinan más por pensar que Estados Unidos u otros países aliados hayan conseguido desactivar esta mafia. Otra teoría es que el gobierno ruso, bajo escrutinio internacional, les haya obligado a cerrar el chiringuito. Finalmente y por supuesto, también está la opción de que esta desaparición sea solo algo temporal.
Lo que sabemos hasta ahora es que "el derribo" de los sitios de REvil / Sodinokibi ha ocurrido menos de una semana después de que el presidente Joe Biden tuviera una breve charla con el presidente Vladimir Putin durante la cual le pidió al líder ruso que tomara "medidas enérgicas" contra los ciberdelincuentes de ransomware que operan desde dentro de las fronteras de su país.
The New York Times ha sugerido que Biden puede haber "ordenado al Comando Cibernético de Estados Unidos que trabaja con las agencias de aplicación de la ley nacionales, incluido el FBI, y que derribe a REvil". Si ese fuera el caso, el incidente parecería seguir una trayectoria similar a la que involucró a DarkSide, la banda de ransomware responsable del ataque a Colonial Pipeline.
Tras conseguir que Colonial Pipeline pagara un rescate de unos 5 millones de dólares en mayo, DarkSide tomó algo de su propia medicina: fue víctima de un aparente ataque a su infraestructura. Después el grupo de cibercriminales desapareció, dejando solo un anuncio de servicio público en un foro de la dark web que explicaba que había sido blanco de una "agencia de aplicación de la ley desconocida y que, por lo tanto, había cerrado su negocio".
Finalmente, en cuanto a la posibilidad de que REvil haya decidido echar la persiana, parece una opción extraña, ya que la banda todavía regatea con las víctimas de su operación Kaseya, su última víctima, y de hecho no se ha asegurado todavía su reclamado rescate de 70 millones de dólares a esta compañía. Algunos investigadores de seguridad han señalado en Twitter que los sitios de ransomware se desconectan de forma rutinaria, pero por lo general vuelven a estar conectados en un período corto de tiempo.
"Recomendamos no sacar conclusiones inmediatas, ya que es temprano, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto", afirmaba un portavoz de Check Point Software.
Lo cierto es que el momento de esfumarse es cuanto menos interesante: el éxodo inexplicable se produjo solo un día antes de que los altos funcionarios de la Casa Blanca y Rusia se reunieran para discutir la crisis global del ransomware.
Toda la infraestructura y las computadoras que usa la banda REvil para llevar a cabo los ciberataques se desconectaron alrededor de las 8:00, hora de Moscú, el martes por la mañana. Y, como decíamos, sus sitios web, incluso donde el grupo publica datos robados, ahora están offline.
REvil es responsable de la friolera del 42% de todos los ataques de ransomware recientes, pero últimamente se han hecho muy populares por estar detrás de dos de los ataques más sonados del año.
En mayo, la banda se infiltró con éxito en los sistemas del gran proveedor de carne JBS -una de las mayores fuentes de carne de res y cerdo de Estados Unidos-, y posteriormente extorsionó a la empresa por 11 millones de dólares.
Luego, hace aproximadamente una semana, los cibercriminales de REvil se atribuyeron la responsabilidad del ataque al proveedor informático global Kaseya, exigiéndole 70 millones a cambio de una clave de descifrado que desbloquearía los datos de todas las víctimas, que según la propia compañía TIC eran unas 1.000 empresas. Estos datos hicieron de aquella la mayor campaña de ransomware jamás realizada.
Aunque es difícil precisar su ubicación exacta, se cree que la banda de delitos informáticos REvil -también conocido como Sodinokibi- tiene su sede en Rusia, debido al hecho de que el grupo no apunta a organizaciones rusas, o aquellas en países del antiguo bloque soviético.
El modus operandi de esta banda es reclutar "agentes" que distribuyan su ransomware y se dividen con ellos los ingresos generados por los pagos de rescate. Los expertos en ciberseguridad creen que REvil es una rama de un grupo de cibercriminales anteriormente también muy conocido: GandCrab. REvil se activó por primera vez directamente después del cierre de GandCrab, y ambos ransomware comparten una cantidad significativa de código, si bien el de REvil no es un código público.
Cuando la industria del ransomware despegaba hace media década, el modelo de negocio para aquellos ataques era fundamentalmente diferente y, sobre todo, mucho más simple: se infectaba indiscriminadamente máquinas vulnerables sin preocuparse mucho por lo que se estaba haciendo exactamente o a quiénes se dirigía la campaña.
Hoy, las operaciones son mucho más sofisticadas y los pagos son mucho más altos. Las bandas de ransomware ahora pagan a criminales especializados para que busquen objetivos masivos que puedan pagar enormes rescates.
RansomWhere
Recientemente ha salido a la luz una plataforma llamada RansomWhere y Ransom Analytics que rastrea rescates pagados por ransomware, es decir, te permite saber cuánto pagan las empresas en rescates por este tipo de ataques a las mafias.
La nueva plataforma, creada por el investigador de ciberseguridad Jack Cable, nace con el objetivo de proporcionar datos generales sobre el pago de rescates de ransomware, para así poder conocer el impacto global de esta amenaza y saber si funcionan las medidas tomadas contra ella.
La plataforma, de la que hasta ahora no había ejemplos debido a la falta de datos, según ha explicado Cable en Twitter, permite que los datos se introduzcan en la página web de Ransomwhere de manera colaborativa y con un formato abierto y transparente.
En total lleva registrados casi 92 millones de dólares, normalmente pagados en criptomonedas, y, entre las familias de ransomware, la que mayores ingresos ha logrado hasta la fecha según esta página web es Netwalker, con más de 27 millones de dólares ingresados. Le sigue REvil/Sodinokibi con más de 12 millones.
Fuente: 20Minutos
Via: feedproxy.google.com