El grupo de ransomware REvil ha sido desconectado después de una operación coordinada por varios gobiernos, según cuatro personas con conocimiento de la acción.
A REvil, antes conocido como Sodinokibi, se le atribuye la realización de una serie de ataques de ransomware de alto perfil, incluidos la empresa procesadora de carne JSB, el fabricante taiwanés de PC Acer y la empresa de gestión de software Kaseya, este último ataque que afectó a cientos de proveedores de servicios gestionados.
El 17 de octubre de 2021, el representante de REvil en el foro de delitos cibernéticos XSS confirmó que un tercero desconocido había accedido a partes del back-end de la página de inicio y el blog de su sitio web. La cuenta del representante se ha mantenido en silencio desde el anuncio.
El sitio web “Happy Blog” del grupo, que se había utilizado para filtrar los datos de las víctimas y extorsionar a las empresas, ya no está disponible.
Aquellos con conocimiento de la operación multigubernamental, incluidos tres expertos cibernéticos del sector privado y un ex funcionario estadounidense, dijeron a Reuters que un socio extranjero del gobierno estadounidense había llevado a cabo la operación de piratería que penetró en la arquitectura informática de REvil.
Aún no está claro qué gobiernos participaron en la operación, pero el exfuncionario estadounidense agregó, bajo condición de anonimato, que estaba en curso.
El sindicato se desconectó anteriormente a mediados de julio en circunstancias misteriosas, lo que provocó la especulación de la comunidad de que las autoridades en Rusia, donde probablemente tiene su sede REvil, habían presionado a la pandilla para que redujera sus actividades a raíz de Kaseya.
Según el informe de Reuters, el FBI logró obtener una clave de descifrado universal siguiendo a Kaseya, tomando el control de algunos de los servidores de REvil y permitiendo a los infectados a través del ataque recuperar sus archivos sin pagar un rescate.
El informe de Reuters agregó que cuando el miembro de REvil 0_neday y otros restauraron sus sitios web desde una copia de seguridad en septiembre de 2021, sin saberlo, reiniciaron algunos sistemas internos que ya estaban bajo el control de las fuerzas del orden de EE. UU.
“El servidor estaba comprometido y me estaban buscando”, escribió 0_neday en un foro de delitos cibernéticos. detectado por primera vez por la empresa de seguridad Recorded Future. “Buena suerte a todos; Estoy fuera.”
En declaraciones a Reuters, Tom Kellermann, asesor del Servicio Secreto de EE. UU. Sobre investigaciones de delitos cibernéticos, dijo: “El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, se han involucrado realmente en acciones disruptivas significativas contra estos grupos . REvil estaba en la parte superior de la lista “.
Funcionarios del gobierno de EE. UU. No identificados también dijeron a Reuters que REvil, que utiliza el software de cifrado DarkSide, también estuvo detrás del ataque de ransomware de mayo de 2021 en Colonial Pipeline, que provocó una escasez generalizada de gas en los EE. UU.
Esta es la primera vez que REvil y DarkSide se describen como la misma operación, con informes anteriores sobre sus ataques que los distinguen como bandas de ransomware separadas.
“Esto contradice los informes de meses de duración de que un grupo de ransomware llamado DarkSide fue responsable del ataque”, dijo el Equipo de Investigación de Fotones de Sombras Digitales. “El FBI se ha negado a comentar sobre estas revelaciones recientes, como es típico durante las investigaciones en curso.
“A pesar de las operaciones de aplicación de la ley, es realmente posible que los afiliados de REvil ilesos regresen como un grupo de ransomware renombrado. Esta es una táctica familiar empleada por los ciberdelincuentes que siguen teniendo la intención de continuar con las operaciones de extorsión de ransomware “.
Se cree ampliamente que REvil ya es un cambio de marca de una operación de ransomware anterior, y los actores detrás de ella probablemente sean los mismos que están detrás de una antigua cepa de ransomware conocida como GandCrab.
Aunque en un momento dado algunos investigadores creyeron que REvil se estaba cambiando a DarkSide, que surgió por primera vez en agosto de 2020, ambos continuaron operando uno al lado del otro durante casi un año hasta que este último atacó a Colonial Pipeline en mayo.
A raíz del incidente del ransomware Colonial Pipeline y otros ataques de alto perfil como SolarWinds, el presidente de EE. UU., Joe Biden, firmó una nueva orden ejecutiva para fortalecer la seguridad cibernética y las redes gubernamentales de EE. UU., Con énfasis en el intercambio de información.
La Casa Blanca dijo en ese momento que los proveedores de TI a menudo dudaban (o eran incapaces) de compartir información sobre compromisos, a menudo por razones contractuales, pero también porque dudaban en avergonzarse a sí mismos oa sus clientes.
Al promulgar medidas para cambiar esto, la administración dijo que podrá defender a los organismos gubernamentales de manera más efectiva y mejorar la seguridad cibernética más amplia de los EE. UU.
En respuesta al hack de REvil, Steve Forbes, experto en seguridad cibernética del gobierno en Nominet, dijo que a pesar de que no siempre es un método de ataque muy sofisticado, la notoriedad del ransomware se debe a sus impactos en el mundo real.
“Una combinación de análisis de red para identificar los signos reveladores de un ataque de ransomware, copias de seguridad sólidas para ayudar a la recuperación y eliminaciones coordinadas entre países será la clave para detener el flujo de ataques de ransomware exitosos en el futuro”, dijo. dijo.
“Si bien esta es una gran victoria en la batalla contra el ransomware, no podemos estar tranquilos, ya que las organizaciones detrás del ransomware han generado ingresos significativos, dándoles la capacidad de cambiar de marca y reinventarse muchas veces. Solo podemos esperar que estas medidas de aplicación de la ley comiencen a hacer que el riesgo sea mayor que la recompensa para los ciberdelincuentes “.