REvil, el infame cartel de ransomware detrás de algunos de los mayores ciberataques dirigidos a JBS y Kaseya, ha desaparecido misteriosamente de la web oscura, lo que lleva a especulaciones de que la empresa criminal podría haber sido derribada.
Varios sitios darknet y clearnet mantenidos por el sindicato de delitos cibernéticos vinculado a Rusia, incluidos los portales de filtración de datos, extorsión y pago, permanecieron inaccesibles, mostrando un mensaje de error «Onionsite not found».
La infraestructura de red Tor del grupo en la web oscura consta de un sitio de blog de filtración de datos y 22 sitios de alojamiento de datos. No está claro de inmediato qué provocó que la infraestructura se desconectara.
REvil es uno de los grupos de ransomware como servicio (RaaS) más prolíficos que apareció por primera vez en el panorama de amenazas en abril de 2019. Es una evolución del ransomware GandCrab , que llegó a los mercados clandestinos a principios de 2018.
«Si REvil ha sido interrumpido permanentemente, marcará el final de un grupo que ha sido responsable de ataques> 360 en los sectores público y privado de Estados Unidos solo este año», tuiteó Brett Callow de Emsisoft .
El repentino desarrollo se produce inmediatamente después de un ataque de ransomware de cadena de suministro a gran escala dirigido al proveedor de servicios de tecnología Kaseya, por el cual REvil (también conocido como Sodinokibi) asumió la responsabilidad y exigió un rescate de $ 70 millones para desbloquear el acceso a sistemas cifrados a cambio de un clave de descifrado universal que desbloquearía todos los datos de las víctimas.
El desastroso ataque vio a la banda de ransomware encriptar aproximadamente 60 proveedores de servicios administrados (MSP) y más de 1.500 empresas en sentido descendente utilizando una vulnerabilidad de día cero en el software de administración remota Kaseya VSA. A fines de mayo, REvil también planeó el ataque al mayor productor de carne del mundo, JBS, que terminó pagando $ 11 millones a los extorsionistas para que se recuperaran del incidente.
La interrupción también coincide con la llamada telefónica del presidente estadounidense Joe Biden con el presidente ruso Vladimir Putin la semana pasada, presionando a este último para que tome medidas para interrumpir los grupos de ransomware que operan en el país, al tiempo que advierte sobre acciones de represalia para defender la infraestructura crítica.
«La situación aún se está desarrollando, pero la evidencia sugiere que REvil ha sufrido un desmantelamiento planificado y simultáneo de su infraestructura, ya sea por los propios operadores o por la industria o la acción policial», dijo a CNBC John Hultquist de FireEye Mandiant .
Parece que el Happy Blog de REvil se desconectó alrededor de la 1 a.m. EST del martes, y vx-underground señaló que el representante público del grupo, Desconocido, no ha publicado en foros de piratería populares como Exploit y XSS desde el 8 de julio.
Posteriormente, un representante del ransomware LockBit publicó en el foro de piratería de habla rusa XSS que la infraestructura de ataque de REvil recibió una solicitud legal del gobierno, lo que provocó el desmantelamiento de los servidores. «REvil está prohibido en XSS», añadió más tarde vx-underground .
No es raro que los grupos de ransomware se oculten después de incidentes muy publicitados. Después de que la pandilla DarkSide atacó a Colonial Pipeline en mayo, los operadores anunciaron planes para terminar su programa de afiliados RaaS para siempre, alegando que sus servidores habían sido confiscados por una agencia de aplicación de la ley desconocida, lo que generó dudas sobre si el grupo realmente se retiró o cambió de nombre. bajo un nuevo nombre.
Esta teoría fue validada unas semanas después cuando el Departamento de Justicia de EE. UU. Reveló el mes pasado que pudo recuperar la mayor parte del dinero pagado por Colonial Pipeline al grupo DarkSide a través de un análisis de los rastros de bitcoin.
El cierre inexplicable de REvil, de manera similar, también puede ser un caso de retiro planificado, o un revés temporal, lo que obligó a aparentemente a disolverse solo para eventualmente reunirse bajo una nueva identidad para atraer menos atención, o puede haber sido la consecuencia. de un mayor escrutinio internacional a raíz de la crisis mundial de ransomware.
Si de hecho resulta que el grupo ha cerrado permanentemente las operaciones, la medida seguramente dejará a los objetivos del grupo en la estacada, sin medios viables para negociar rescates y hacerse con las claves de descifrado necesarias para recuperar el control de sus sistemas, por lo tanto de forma permanente. bloquearlos de sus datos.
«No sé lo que esto significa, pero de todos modos, ¡estoy feliz!» tuiteó Katie Nickels, directora de inteligencia de Red Canary. «Si es un derribo del gobierno, increíble, están tomando medidas. Si los actores voluntariamente se callaron, excelente, tal vez estén asustados».