Rusia arrestó a miembros de REvil y les confiscó millones de dólares
A pedido de las autoridades estadounidenses. El Servicio Federal de Seguridad (FSB) de Rusia actuó hace unos días para “liquidar” a la banda de ransomware REvil.
Según informes locales, la principal agencia de seguridad del país allanó 25 sitios en Leningrado, Lipetsk, Moscú y San Petersburgo. Los allanamientos permitieron incautar activos por valor de más de 5.6 millones de dólares (426 millones de rublos) en diversas formas, incluidos 600,000 dólares y 500,000€. Asimismo, varias cantidades de criptomonedas; y 20 vehículos de lujo.
El FSB dijo que un total de 14 presuntos ciberdelincuentes también fueron atrapados en la redada y han sido acusados de “circulación ilegal de medios de pago”. El servicio de seguridad también dijo que “neutralizó” la infraestructura de la banda.
Petición de Estados Unidos
Según reportes, el ímpetu del ataque fue una solicitud formal de acción por parte de las autoridades estadounidenses.
“Estas capturas tienen el objetivo de desmantelar una red criminal y su participación en las invasiones de los recursos de información de empresas extranjeras de alta tecnología. La banda ha actuado mediante la introducción de software malicioso, el cifrado de información y la extorsión de dinero para el descifrado”.
Comunicado de prensa del FSB.
Como resultado de las acciones conjuntas del FSB y el Ministerio del Interior de Rusia, la banda de ransomware fue eliminada. Además, la infraestructura de información utilizada con fines delictivos fue neutralizada. Los representantes de las autoridades estadounidenses competentes ya fueron informados sobre los resultados de la operación.
La medida se produce dos semanas después de una llamada telefónica de alto riesgo entre el presidente ruso, Vladimir Putin, y el presidente de los Estados Unidos, Joe Biden. Biden ha estado llamando a la acción contra las bandas de ransomware que residen en Rusia durante meses.
REvil (también conocido como Sodinokibi) una vez alcanzó el dominio como un elemento importante en la extorsión de ransomware. REvil bloqueó redes de grandes empresas (como JBS Foods) y obtuvo millones en pagos de rescate. Llegó a los titulares el año pasado con los extensos ataques de día cero a la cadena de suministro contra los clientes de Kaseya. Asimismo, estuvo vinculado al infame ataque cibernético de Colonial Pipeline. Todo eso provocó un reclamo de Biden hace unos meses, con la demanda de que Putin debía cerrar los grupos de ransomware que operan desde Rusia.
Acciones contra REvil
Poco después, en julio, los servidores de REvil se desactivaron misteriosamente y permanecieron así durante dos meses. Pero a fines de septiembre, el grupo renació como un actor de ransomware como servicio (RaaS), aunque según todos los informes, operaba con una fracción de su poder anterior y faltaba personal clave. Su codificador principal, UNKN (también conocido como Unknown), por ejemplo, supuestamente dejó el grupo. También se metió en problemas en el mundo clandestino cibernético por no pagar a sus afiliados de RaaS su parte justa de los pagos de rescate.
Las acciones del FSB han provocado algunas conversaciones en la clandestinidad cibernética acerca de que REvil fue víctima de maquinaciones políticas.
Es probable que los arrestos contra los miembros de REvil tuvieran motivaciones políticas, con Rusia buscando usar el evento como estandarte. Podría debatirse que esto puede relacionarse con las sanciones contra Rusia propuestas recientemente en los Estados Unidos o la tensa situación en la frontera de Ucrania.
Algunos expertos creen que los miembros de REvil son “peones en un gran juego político”. Otros piensan que Rusia hizo los arrestos “a propósito” para que Estados Unidos “se calmara”.
¿Es importante la caída de REvil?
Estos arrestos pueden haber afectado a un operador de ransomware muy reconocido. Sin embargo, REvil está lejos de ser lo que solía ser, y otros grupos continúan atacando con impunidad. LockBit 2.0, por ejemplo , ha estado floreciendo, como lo demuestra el perfil LockBit 2.0 de Herjavec Group y su larga lista de víctimas de LockBit 2.0.
Las oportunidades de ransomware también están aumentando en disponibilidad; Group-IB descubrió recientemente que surgieron 21 nuevos programas afiliados de RaaS durante el año pasado. Además, la cantidad de nuevos sitios de filtración de doble extorsión se duplicó con creces a 28, según el informe.
En otras palabras, esta acción puede ser simplemente una pequeña victoria en la batalla mucho más grande contra el ransomware. Pero REvil se ha convertido en un objetivo simbólico importante en la lucha. Esto por sus vínculos potenciales con Colonial Pipeline por lo que ha estado cada vez más en la mira de los gobiernos de todo el mundo.
En octubre, un esfuerzo encubierto de varios países llevó a que los servidores de REvil se desconectaran temporalmente. En noviembre, Europol anunció el arresto de un total de siete presuntos afiliados de ransomware REvil/GandCrab.Entre los arrestos destacó un ciudadano ucraniano acusado por los Estados Unidos de ataques de ransomware que incluyen los ataques de Kaseya. Otros países también han atrapado afiliados (ciberatacantes aleatorios que alquilan la infraestructura de REvil), lo que no afecta a la banda principal. No obstante, en octubre, Alemania identificó a un presunto operador principal de REvil, escondido en Rusia y lejos del alcance de la extradición.
Rusia, por su parte, puede ganar algunos elogios por la acción de esta semana. Sin embargo, los investigadores han notado durante mucho tiempo que el país se ha convertido en un refugio seguro para los autores intelectuales del ransomware, que a cambio evitan atacar objetivos rusos.
Refugiados en Rusia
“En Rusia, literalmente no tienen miedo de ser arrestados”, afirmó recientemente el investigador Jon DiMaggio. Él se refería al encogimiento de hombros colectivo del submundo cibernético ante la noticia de noviembre de que los afiliados de REvil estaban siendo arrestados. “Hacen comentarios como, ‘protege a la patria, la patria te protege a ti’… Ponen íconos de la bandera rusa en sus mensajes”, concluyó
¿Podría eso estar cambiando? Solo el tiempo lo dirá.
“Rusia actuando sobre cualquier informe de ciberdelincuencia, especialmente ransomware, es especialmente raro”, afirmó el experto en seguridad John Bambenek. A menos que involucre explotación infantil o chechenos, la cooperación del FSB simplemente no sucede, agregó.
Es dudoso que esto represente un cambio importante en la postura de Rusia ante la actividad criminal dentro de sus fronteras (a menos que apunten a ciudadanos rusos). Esto es una medida generada porque su posición diplomática es insostenible y necesitaban sacrificar algunos prescindibles para detener una presión geopolítica más seria.
Si en tres meses no hay otro arresto importante, es seguro asumir que no ha ocurrido un cambio real con el enfoque de Rusia.
“Es posible que el FSB allanara a REvil sabiendo que el grupo ocupaba un lugar destacado en la lista de prioridades para los Estados Unidos. Sin embargo, consideraban que su eliminación tendría un pequeño impacto en el panorama actual del ransomware”, afirmó otro experto.