La pandilla de ransomware liderada por Rusia, REvil, fue derrotada por una operación activa de aplicación de la ley en muchos países, lo que provocó que su infraestructura fuera atacada y desconectada por segunda vez a principios de esta semana, las últimas medidas tomadas por los gobiernos para interrumpir el lucrativo ecosistema.
Reuters informó por primera vez, citando a varios expertos cibernéticos del sector privado que trabajan con el gobierno de EE. UU., señalando que el ataque cibernético de mayo en Colonial Pipeline se basó en un software de encriptación desarrollado por los asociados de REvil, lo que confirma oficialmente la conexión de DarkSide con una unidad criminal prolífica.
En línea con los desarrollos, la compañía de análisis de blockchain de Elliptic reveló que $ 7 millones en bitcoins en poder del grupo de ransomware de DarkSide se habían transferido a través de una serie de nuevas billeteras, con una pequeña fracción transferida con cada transferencia para dificultar el lavado de dinero. rastrear y convertir fondos en moneda fiduciaria a través de turnos.
El domingo se reveló que el portal de pago Tor de REvil y el sitio web de fuga de datos habían sido secuestrados por actores no identificados, y un miembro asociado con la operación dijo que «el servidor estaba comprometido y me estaban buscando», lo que llevó a la especulación sobre un ley coordinada. participación en la ejecución.
La economía del ransomware, cada vez más exitosa y rentable, generalmente se caracteriza por una maraña compleja de asociaciones, con sindicatos de ransomware como servicio (RaaS) como REvil y DarkSide que arriendan su malware de cifrado de archivos a afiliados reclutados a través de foros en línea y canales de Telegram. que lanzan ataques contra redes corporativas a cambio de una gran parte del rescate pagado.
Este modelo de servicio permite a los operadores de ransomware mejorar el producto, mientras que los afiliados pueden concentrarse en propagar el ransomware e infectar a tantas víctimas como sea posible para crear una línea de ensamblaje de rescate que luego se puede distribuir entre los desarrolladores y ellos mismos. Vale la pena señalar que estos afiliados también pueden recurrir a otras empresas de ciberdelincuencia que ofrecen acceso inicial a través de puertas traseras permanentes para organizar interrupciones.
“Los afiliados suelen comprar un enfoque corporativo de [Initial Access Brokers] «Cheap Shadows dijo en un informe publicado en mayo de 2021. «El aumento de estos actores de amenazas, junto con la creciente importancia de los modelos RaaS en las amenazas, indica una creciente profesionalización del ciberdelito».
REvil (también conocido como Sodinokibi) cerró por primera vez a mediados de julio de 2021 después de una serie de ataques de alto perfil contra JBS y Kaseya a principios de este año, pero la tripulación organizó un regreso formal a principios de septiembre bajo la misma marca, incluso cuando la Oficina Federal de EE. UU. de Investigación (FBI) planeó en secreto desmantelar las actividades insidiosas del actor sin su conocimiento, según el Washington Post el mes pasado.
«La banda de ransomware REvil ha restaurado la infraestructura a partir de copias de seguridad, siempre que no se hayan visto comprometidas», dijo a Reuters Oleg Skulkin de Group-IB. «La ironía es que la táctica favorita de la pandilla para comprometer los avances se ha vuelto contra ellos».
