REvil, el infame cártel de ransomware detrás de algunos de los mayores ataques cibernéticos dirigidos a JBS y Kaseya, ha desaparecido misteriosamente de la web oscura, lo que lleva a especulaciones de que la empresa criminal puede haber sido eliminada.
Múltiples sitios de darknet y clearnet mantenidos por el sindicato de delitos cibernéticos vinculado a Rusia, incluidos los portales de fuga de datos, extorsión y pago, permanecieron inaccesibles y mostraban un mensaje de error «Onionsite no encontrado».
Los grupos Infraestructura de la red Tor en la web oscura consta de un sitio de blog de fuga de datos y 22 sitios de alojamiento de datos. No está claro de inmediato qué provocó que la infraestructura se desconectara.
REvil es uno de los grupos de ransomware como servicio (RaaS) más prolíficos que apareció por primera vez en el panorama de amenazas en abril de 2019. Es una evolución del ransomware GandCrab, que llegó a los mercados clandestinos a principios de 2018.
«Si REvil ha sido interrumpido permanentemente, marcará el final de un grupo que ha sido responsable de> 360 ataques contra los sectores público y privado de EE. UU. solo este año», Brett Callow de Emsisoft tuiteó.
El desarrollo repentino se produce inmediatamente después de un ataque de ransomware a gran escala en la cadena de suministro dirigido al proveedor de servicios tecnológicos Kaseya, por el cual REvil (también conocido como Sodinokibi) asumió la responsabilidad y exigió un rescate de $ 70 millones para desbloquear el acceso a sistemas encriptados a cambio de una clave de descifrado universal que desbloquearía todos los datos de las víctimas.
En el desastroso ataque, la pandilla de ransomware encriptó aproximadamente 60 proveedores de servicios administrados (MSP) y más de 1500 negocios intermedios utilizando una vulnerabilidad de día cero en el software de administración remota Kaseya VSA. A fines de mayo, REvil también planeó el ataque al mayor productor de carne del mundo, JBS, que terminó pagando $ 11 millones a los extorsionadores para recuperarse del incidente.
La interrupción también coincide con la llamada telefónica del presidente de los Estados Unidos, Joe Biden, con el presidente ruso, Vladimir Putin, la semana pasada, presionándolo para que tome medidas para interrumpir los grupos de ransomware que operan en el país, al tiempo que advierte sobre acciones de represalia para defender la infraestructura crítica.
“La situación aún se está desarrollando, pero la evidencia sugiere que REvil ha sufrido un desmantelamiento planificado y simultáneo de su infraestructura, ya sea por parte de los propios operadores o a través de la industria o la aplicación de la ley”, dijo John Hultquist de FireEye Mandiant a CNBC.
Parece que el blog feliz de REvil se desconectó alrededor de la 1 a. m. EST del martes, con vx-underground tomando nota que el representante público del grupo, Unknown, no ha publicado en foros de piratería populares como Exploit y XSS desde el 8 de julio.
Posteriormente, un representante del ransomware LockBit al corriente al Foro de piratería XSS de habla rusa que la infraestructura de ataque de REvil recibió una solicitud legal del gobierno, lo que provocó el desmantelamiento de los servidores. «REvil está prohibido en XSS», vx-underground añadido más tarde.
No es raro que los grupos de ransomware desaparezcan después de incidentes muy publicitados. Después de que la pandilla DarkSide atacó a Colonial Pipeline en mayo, los operadores anunciaron planes para cerrar definitivamente su programa de afiliados RaaS, alegando que sus servidores habían sido incautados por una agencia policial desconocida, lo que planteó dudas sobre si el grupo realmente se retiró o cambió su nombre. bajo un nuevo nombre.
Esta teoría fue validada unas semanas después cuando el Departamento de Justicia de EE. UU. reveló el mes pasado que pudo recuperar la mayor parte del dinero pagado por Colonial Pipeline al grupo DarkSide a través de un análisis de los rastros de bitcoin.
El cierre inexplicable de REvil, de manera similar, también puede ser un caso de jubilación planificada o un revés temporal, que lo obligó a disolverse aparentemente solo para finalmente volver a ensamblarse bajo una nueva identidad para atraer menos atención, o una consecuencia de una mayor internacional. escrutinio a raíz de la crisis global de ransomware.
Si de hecho resulta que el grupo ha cerrado permanentemente sus operaciones, la medida seguramente dejará a los objetivos del grupo en la estacada, sin medios viables para negociar rescates y obtener las claves de descifrado necesarias para recuperar el control de sus sistemas, por lo tanto permanentemente bloqueándolos de sus datos.
«No sé qué significa esto, pero a pesar de todo, ¡estoy feliz!» tuiteó Katie Nickels, directora de inteligencia de Red Canary. «Si se trata de un derribo del gobierno, increíble, están tomando medidas. Si los actores se callaron voluntariamente, excelente, tal vez estén asustados».