Una de las bandas de ransomware más prolíficas del mundo desapareció repentinamente de internet. Ese inexplicable hecho se produjo solo un día antes de la reunión entre los altos funcionarios de la Casa Blanca y Rusia sobre la crisis global de ransomware.
El grupo de ransomware conocido como REvil forma parte desde hace años del creciente ciberdelito clandestino. Un enorme 42 % de todos los ciberataques de ransomware recientes se remontan a este grupo, pero son especialmente conocidos por dos hackeos concretos. A principios de este mes, afectó a al menos 1.000 empresas al atacar a la empresa de software Kaseya. Fue una de las campañas de ransomware más amplias jamás realizadas. Y el mes pasado, REvil golpeó al proveedor de carne JBS y exigió el pago de 11 millones de dólares (9,32 millones de euros). Incluso cuando los líderes mundiales centraron su atención en el ransomware y amenazaron con tomar medidas, REvil se mostró desafiante, hasta ahora.
“Es complicado averiguar qué está pasando. Pero somos cautelosamente optimistas de que una de las mayores bandas que hay se ha acabado”.
Allan Liska, analista senior de amenazas de la empresa de seguridad Recorded Future
Hay algunas explicaciones de lo que pudo causar la desaparición. Primero, puede que la propia banda haya optado por retirarse si ya ha ganado suficiente dinero o ha sentido demasiada presión. Estados Unidos o sus aliados pueden haberlos puesto offline con éxito. O el Gobierno ruso, bajo escrutinio internacional, podría haberlos obligado a desaparecer. Su desaparición también podría ser temporal: muchos ciberdelincuentes fingen “retirarse” antes de reaparecer más tarde bajo nuevas identidades.
“Recomendamos no sacar conclusiones inmediatas, ya que es todavía pronto, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto”
Ekram Ahmed, portavoz de Check Point Software
La respuesta no está clara y el problema global del ransomware sigue agravándose
Todos los sitios web utilizados por el grupo REvil, incluso donde publica los datos robados, ya no están disponibles. Pero, aún es más significativo que toda la infraestructura y los ordenadores que usa la banda para llevar a cabo los ataques se desconectaron alrededor de las 8 a.m., hora de Moscú (Rusia), del martes 13 de julio.
“Los sitios de ransomware están alojados en lugares muy seguros y son inestables, todos se activan y desactivan. Pero nunca lo hacen todos al mismo tiempo“,
Liska
Pero, ¿qué es REvil?
REvil es un grupo de habla rusa, su malware evita los ordenadores rusos y está vinculado a otros grupos que se cree que están dentro de Rusia. Después del ataque masivo de este mes, la secretaria de Prensa de la Casa Blanca, Jen Psaki, declaró: “Si el Gobierno ruso no puede o no quiere tomar medidas contra los actores criminales en Rusia, tomaremos medidas o nos reservamos el derecho para hacerlo”.
“El momento es fascinante. Es justo después del ataque a Kaseya y justo antes de la cumbre. Acaban de realizar él ataque de ransomware posiblemente más grande de la historia. Pasar de tan alto a desaparecer no creo que sea una coincidencia“.
Fuente: MIT Technology Review
