Redacción NM
El grupo de ransomware REvil ha sido desmantelado por las autoridades rusas el viernes a pedido de las agencias gubernamentales de EE. UU. Según un informe de Reuters, el Servicio Federal de Seguridad de la Federación Rusa (FSB) dijo en un comunicado que el grupo de ciberdelincuentes había «dejado de existir» luego de una operación de aplicación reciente.
El anuncio se produce cuando Ucrania estaba respondiendo a un ciberataque masivo que cerró los sitios web del gobierno, aunque no había indicios de que los incidentes estuvieran relacionados. Aquí echamos un vistazo más de cerca a la banda de ransomware REvil y su funcionamiento.
¿Quién/qué es REvil?
El nombre de REvil es una amalgama de «ransomware» y «mal». El grupo es una organización de piratería con sede en Rusia. Los investigadores de seguridad han nombrado previamente a la familia de malware de la organización como REvil/Sodinokibi o REvil.Sodinokibi.
Pandillas como REvil implementan ransomware, que es esencialmente un virus de bloqueo de archivos que cifra los archivos después de la infección. Después de que los datos son robados y se vuelven inaccesibles para la víctima, el grupo envía un mensaje de solicitud de rescate a las víctimas. El mensaje normalmente exige que el rescate se pague en criptomonedas como Bitcoin. Si el rescate no se paga a tiempo, la demanda se duplica. La razón por la que se prefieren las criptomonedas se debe al anonimato percibido y la facilidad de pago en línea.
El grupo REvil robaría datos de las computadoras, bloquearía el acceso de las víctimas a sus computadoras y luego amenazaría con liberar los datos robados mediante una subasta. Esta es una técnica única de aplicar presión adicional sobre las víctimas.
REvil también actuó como un negocio y vendió tecnología de piratería, entre otras herramientas, a piratas informáticos externos. Los miembros de REvil alquilarían ese ransomware a otros grupos de piratería para que se pudiera implementar un ataque similar. Ofrecerían ransomware como servicios (RaaS). A cambio de usar los servicios y el malware de REvil, el grupo obtendría una parte sustancial de los pagos de ransomware del otro grupo.
Curiosamente, algunos de los ataques de ransomware de más alto perfil de este año se realizaron a través de grupos RaaS, incluido el famoso ataque de ransomware en mayo contra Colonial Pipeline, una empresa estadounidense de oleoductos, donde el ciberdelincuente alquiló el servicio de REvil.
La pandilla de ransomware se ha relacionado con ataques de alto perfil, incluso contra Quanta, una empresa taiwanesa que vende equipos para centros de datos a Apple. REvil dijo que pudo robar datos confidenciales de diseños de computadoras similares a Apple y exigió un rescate de 50 millones de dólares. Sin embargo, como informó la publicación tecnológica MacRumors en abril, REvil «eliminó misteriosamente todas las referencias relacionadas con el intento de extorsión de su blog de la web oscura». Hasta el momento, no está claro si Apple o Quanta pagaron el rescate.
Cabe señalar que, a diferencia de los piratas informáticos patrocinados por el estado, REvil tiene una motivación puramente financiera. El notorio grupo también se atribuyó el hackeo del bufete de abogados de Nueva York Grubman, Shire, Meiselas & Sacks, afirmando haber obtenido documentos relacionados con el expresidente Donald Trump.
El cierre de REvil
En una operación conjunta, la policía y el FSB registraron 25 direcciones, detuvieron a 14 personas y confiscaron 426 millones de rublos (aproximadamente 40 millones de rupias), 600 000 dólares (aproximadamente 4 millones de rupias), 500 000 euros, equipos informáticos y 20 automóviles de lujo.
Según Reuters, un tribunal de Moscú identificó a los dos acusados como Roman Muromsky y Andrei Bessonov y los mantuvo bajo custodia durante dos meses. Muromsky era un desarrollador web que diseñó sitios web para una tienda llamada «Motohansa» que vendía repuestos para motocicletas.
“Es una persona inteligente y me imagino que si quisiera hacerlo (hackear) podría, pero cobraba muy poco dinero por sus servicios. Hace varios años tenía un coche Rover. No es un coche caro en absoluto”, dijo Sergei, el dueño de la tienda, citado por Reuters. Muromsky tiene treinta y tantos años y nació en Anapa, en el sur de Rusia, donde trabajaba como programador normal”. Los miembros del grupo han sido acusados y podrían enfrentar hasta siete años de prisión, según el informe.
Anteriormente, en noviembre, un informe de la firma de ciberseguridad Sophos revelado ese ransomware, alimentado por criptomonedas, estuvo involucrado en el 79 por ciento de los incidentes de ciberseguridad global de 2020-2021. Los ataques de ransomware Conti y REvil encabezaron la lista, señala Sophos.
