Una de las bandas de cibercriminales más prolíficas del mundo ha desaparecido repentinamente de la faz de Internet esta semana. Tras meses causando el caos en multinacionales y gobiernos, la mafia conocida como REvil se ha ido sin dejar huella: se han evaporado sus propiedades en la dark web, su página de información para pagar las extorsiones y todas sus filtraciones públicas.
Pero, ¿se han ido realmente o ‘alguien’ les ha echado?
Algunas explicaciones barajan que es posible que la propia banda haya optado por retirarse si han ganado suficiente dinero o han sentido demasiada presión. Los más optimistas se inclinan más por pensar que Estados Unidos u otros países aliados hayan conseguido desactivar esta mafia. Otra teoría es que el gobierno ruso, bajo escrutinio internacional, les haya obligado a cerrar el chiringuito. Finalmente y por supuesto, también está la opción de que esta desaparición sea solo algo temporal.
Lo que sabemos hasta ahora es que ‘el derribo’ de los sitios de REvil ha ocurrido menos de una semana después de que el presidente Joe Biden tuviera una breve charla con el presidente Vladimir Putin durante la cual le pidió al líder ruso que tomara “medidas enérgicas” contra los ciberdelincuentes de ransomware que operan desde dentro de las fronteras de su país.
The New York Times ha sugerido que Biden puede haber “ordenado al Comando Cibernético de Estados Unidos que trabaja con las agencias de aplicación de la ley nacionales, incluido el FBI, y que derribe a REvil”. Si ese fuera el caso, el incidente parecería seguir una trayectoria similar a la que involucró a DarkSide, la banda de ransomware responsable del ataque a Colonial Pipeline.
Tras conseguir que Colonial Pipeline pagara un rescate de unos 5 millones de dólares en mayo, DarkSide tomó algo de su propia medicina: fue víctima de un aparente ataque a su infraestructura. Después el grupo de cibercriminales desapareció, dejando solo un anuncio de servicio público en un foro de la dark web que explicaba que había sido blanco de una “agencia de aplicación de la ley desconocida” y que, por lo tanto, había “cerrado” su negocio.
Finalmente, en cuanto a la posibilidad de que REvil haya decidido echar la persiana, parece una opción extraña, ya que la banda todavía regatea con las víctimas de su operación Kaseya, su última víctima, y de hecho no se ha asegurado todavía su reclamado rescate de 70 millones de dólares a esta compañía. Algunos investigadores de seguridad han señalado en Twitter que los sitios de ransomware se desconectan de forma rutinaria, pero por lo general vuelven a estar conectados en un período corto de tiempo.
“Recomendamos no sacar conclusiones inmediatas, ya que es temprano, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto”, afirmaba un portavoz de Check Point Software.
Lo cierto es que el momento de esfumarse es cuanto menos interesante: el éxodo inexplicable se produjo solo un día antes de que los altos funcionarios de la Casa Blanca y Rusia se reunieran para discutir la crisis global del ransomware.
Toda la infraestructura y las computadoras que usa la banda REvil para llevar a cabo los ciberataques se desconectaron alrededor de las 8:00, hora de Moscú, el martes por la mañana. Y, como decíamos, sus sitios web, incluso donde el grupo publica datos robados, ahora están offline.
Casi la mitad de los recientes ataques han sido reclamados por REvil
REvil es responsable de la friolera del 42% de todos los ataques de ransomware recientes, pero últimamente se han hecho muy populares por estar detrás de dos de los ‘hackeos’ más sonados del año.
En mayo, la banda se infiltró con éxito en los sistemas del gran proveedor de carne JBS -una de las mayores fuentes de carne de res y cerdo de Estados Unidos-, y posteriormente extorsionó a la empresa por 11 millones de dólares.
Luego, hace aproximadamente una semana, los cibercriminales de REvil se atribuyeron la responsabilidad del ataque al proveedor informático global Kaseya, exigiéndole 70 millones a cambio de una clave de descifrado que desbloquearía los datos de todas las víctimas, que según la propia compañía TIC eran unas 1.000 empresas. Estos datos hicieron de aquella la mayor campaña de ransomware jamás realizada.
Aunque es difícil precisar su ubicación exacta, se cree que la banda de delitos informáticos REvil -también conocido como Sodinokibi- tiene su sede en Rusia, debido al hecho de que el grupo no apunta a organizaciones rusas, o aquellas en países del antiguo bloque soviético.
El modus operandi de esta banda es reclutar ‘agentes’ que distribuyan su ransomware y se dividen con ellos los ingresos generados por los pagos de rescate. Los expertos en ciberseguridad creen que REvil es una rama de un grupo de cibercriminales anteriormente también muy conocido: GandCrab. REvil se activó por primera vez directamente después del cierre de GandCrab, y ambos ransomware comparten una cantidad significativa de código, si bien el de REvil no es un código público.
Ataques mucho más sofisticados
Cuando la industria del ransomware despegaba hace media década, el modelo de negocio para aquellos ataques era fundamentalmente diferente y, sobre todo, mucho más simple: se infectaba indiscriminadamente máquinas vulnerables sin preocuparse mucho por lo que se estaba haciendo exactamente o a quiénes se dirigía la campaña.
Hoy, las operaciones son mucho más sofisticadas y los pagos son mucho más altos. Las bandas de ransomware ahora pagan a cibermalos especializados para que busquen objetivos masivos que puedan pagar enormes rescates.
Recientemente ha salido a la luz una plataforma llamada Ransomwhere que rastrea rescates pagados por ransomware, es decir, te permite saber cuánto pagan las empresas en rescates por este tipo de ataques a las mafias.
En total lleva registrados casi 61 millones de dólares, normalmente pagados en criptomonedas, y, entre las familias de ransomware, la que mayores ingresos ha logrado hasta la fecha según esta página web es Netwalker, con más de 27 millones de dólares ingresados. Le sigue REvil/Sodinokibi con más de 11 millones.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios