El grupo de ransomware conocido como REvil forma parte desde hace años del creciente ciberdelito clandestino. Un enorme 42 % de todos los ciberataques de ransomware recientes se remontan a este grupo, pero son especialmente conocidos por dos hackeos concretos. A principios de este mes, afectó a al menos 1.000 empresas al atacar a la empresa de software Kaseya. Fue una de las campañas de ransomware más amplias jamás realizadas. Y el mes pasado, REvil golpeó al proveedor de ca e JBS y exigió el pago de 11 millones de dólares (9,32 millones de euros). Incluso cuando los líderes mundiales centraron su atención en el ransomware y amenazaron con tomar medidas, REvil se mostró desafiante, hasta ahora.
nEl analista senior de amenazas de la empresa de seguridad Recorded Future, Allan Liska, afirma: "Es complicado averiguar qué está pasando. Pero somos cautelosamente optimistas de que una de las mayores bandas que hay se ha acabado".
nHay algunas explicaciones de lo que pudo causar la desaparición. Primero, puede que la propia banda haya optado por retirarse si ya ha ganado suficiente dinero o ha sentido demasiada presión. Estados Unidos o sus aliados pueden haberlos puesto offline con éxito. O el Gobie o ruso, bajo escrutinio inte acional, podría haberlos obligado a desaparecer. Su desaparición también podría ser temporal: muchos ciberdelincuentes fingen "retirarse" antes de reaparecer más tarde bajo nuevas identidades.
n"Recomendamos no sacar conclusiones inmediatas ya que es todavía pronto, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto", advierte el portavoz de Check Point Software, Ekram Ahmed. La respuesta no está clara y el problema global del ransomware sigue agravándose.
nEn un tuit, la directora de Inteligencia de la empresa estadounidense Red Canary, Katie Nickels, exclamó: "No sé qué significa esto, pero, de todos modos, ¡estoy feliz! Si lo ha logrado el Gobie o, estupendo, están tomando medidas. Si los actores se han ido voluntariamente, excelente, puede que estén asustados. Pero es importante recordar que esto no resuelve el ransomware".
nTodos los sitios web utilizados por el grupo REvil, incluso donde publica los datos robados, ya no están disponibles. Pero, aún es más significativo que toda la infraestructura y los ordenadores que usa la banda para llevar a cabo los ataques se desconectaron alrededor de las 8 a.m., hora de Moscú (Rusia), del martes, explica Liska. El portavoz del grupo también llevaba inactivo desde hacía casi una semana.
n"Los sitios de ransomware están alojados en lugares muy seguros y son inestables, todos se activan y desactivan. Pero nunca lo hacen todos al mismo tiempo", explica Liska.
nREvil es un grupo de habla rusa, su malware evita los ordenadores rusos y está vinculado a otros grupos que se cree que están dentro de Rusia. Después del ataque masivo de este mes, la secretaria de Prensa de la Casa Blanca, Jen Psaki, declaró: "Si el Gobie o ruso no puede o no quiere tomar medidas contra los actores criminales en Rusia, tomaremos medidas o nos reservamos el derecho para hacerlo".
nLiska concluye: "El momento es fascinante. Es justo después del ataque a Kaseya y justo antes de la cumbre. Acaban de realizar el [ataque] de ransomware posiblemente más grande de la historia. Pasar de tan alto a desaparecer no creo que sea una coincidencia".
n