Estados Unidos arrestó a afiliados del ransomware REvil y les incautó 6 millones
Las agencias transnacionales de aplicación de la ley están sacando a los afiliados de REvil de su escondite. Sin embargo, la clandestinidad se está reduciendo a un país: Rusia. Los expertos afirman que Rusia no tocará ni un pelo de las cabezas de los operadores de ransomware rusos.
El lunes, Europol anunció el arresto de un total de siete presuntos afiliados del ransomware REvil/GandCrab. Uno de los arrestados es un ucraniano acusado por Estados Unidos de ataques de ransomware que incluyen los ataques de Kaseya atribuidos a REvil.
Para poner las noticias en perspectiva, los afiliados son muchos. Específicamente, los afiliados son los ciberdelincuentes que alquilan ransomware en la economía del ransomware-as-a-service (RaaS), no son los autores intelectuales que se esconden en países simpatizantes como Rusia.
A fines del mes pasado, Alemania identificó a uno de los presuntos líderes de REvil. No obstante, todo lo que las autoridades alemanas pueden hacer es agarrar su orden de arresto y esperar a que el multimillonario ruso abandone la seguridad de su patria. No contengas la respiración, dicen los expertos: los delincuentes saben qué países tienen acuerdos de extradición y cuáles no.
El Departamento de Justicia incauta $6.1 millones en ganancias de rescate
El lunes, el Departamento de Justicia de EE. UU. (DOJ) reveló una acusación formal contra Yaroslav Vasinskyi, de 22 años. Vasinskyi es un ciudadano ucraniano y está acusado de ataques de ransomware contra múltiples víctimas. El Departamento de Justicia también reveló que incautaron $6.1 millones en pagos de rescate.
Según las autoridades, el dinero se remonta a presuntos pagos de rescate recibidos por Yevgeniy Polyanin, de 28 años, ciudadano ruso, quien también ha sido acusado de ataques del ransomware REvil contra múltiples víctimas. Entre las victimas destacan empresas y entidades gubernamentales en Texas el 16 de agosto o alrededor de esa fecha en 2019.
“El ransomware puede paralizar una empresa en cuestión de minutos. Estos dos acusados desplegaron algunos de los códigos más virulentos de Internet, creado por REvil, para secuestrar las computadoras de las víctimas. En cuestión de meses, el Departamento de Justicia identificó a los perpetradores, efectuó un arresto y confiscó una importante suma de dinero. El Departamento profundizará en los rincones más oscuros de Internet y los confines más lejanos del mundo para rastrear a los ciberdelincuentes”.
Chad E. Meacham fiscal federal del distrito norte de Texas.
Arrestos en Rumania
Mientras tanto, las autoridades rumanas arrestaron a dos presuntos operadores de REvil (también conocido como Sodinokibi). Las autoridades sospechan que los detenidos están detrás de 5,000 ataques y que supuestamente han ganado medio millón de euros en pagos de rescate.
En el anuncio del lunes, Europol dijo que esto eleva el recuento de arrestos de REvil/GandCrab a cinco desde febrero de 2021. Recordemos que otros tres afiliados de REvil ya habían sido arrestados, más los dos sospechosos arrestados recientemente.
Estos son los REvilers que han sido capturados y clasificados por las autoridades:
Principios de octubre. El ucraniano Vasinskyi, presunto afiliado de REvil y sospechoso de estar detrás del ataque de Kaseya. Vasinskyi fue arrestado en la frontera polaca después de que las autoridades estadounidenses emitieran una orden de arresto internacional. Las autoridades estadounidenses están buscando su extradición.
Un resumen del extenso ataque a la cadena de suministro: el 2 de julio, la banda REvil explotó tres días cero en la plataforma Virtual System/Server Administrator (VSA) de Kaseya en más de 5,000 ataques.
Hasta el 5 de julio, el ataque mundial se había desatado en 22 países. El ataque no solo afectó a la base de clientes de proveedores de servicios administrados (MSP) de Kaseya, sino también, dado que muchos de ellos usan VSA para administrar las redes de otras empresas, afectó a los clientes de estos.
Según el anuncio de Europol, 1,500 empresas se vieron afectadas ya que REvil exigió un rescate de unos 70 millones de euros. Es decir, la banda exigió 81.1 millones de dólares estadounidenses
Arrestos previos
Febrero, abril y octubre de 2021. Las autoridades surcoreanas arrestaron a tres personas sospechosas de ser afiliadas a GandCrab/REvil, que presuntamente habían victimizado a más de 1,500 objetivos.
4 de noviembre: Las autoridades kuwaitíes arrestaron a otro presunto afiliado de GandGrab.
Los siete presuntos afiliados son sospechosos de atacar a unas 7,000 víctimas en total, según Europol.
Operación GoldDust
Los arrestos son el resultado de la Operación GoldDust. GoldDust es un esfuerzo que implicó la identificación, escuchas telefónicas y la incautación de parte de la infraestructura de REvil. La incautación de infraestructura es la explicación probable de la desaparición de los sitios de REvil el 13 de julio.
En ese momento, los operadores de REvil dijeron que la infraestructura se cayó y que las operaciones cesarían por el momento, pero que volverían. Algunos en la clandestinidad ciberdelincuente pensaron que REvil pudo haber desactivado sus servidores a propósito. Sin embargo, otros especularon que el portavoz principal de REvil, ” Unknown”, había desaparecido o había muerto.
Pero según Jon DiMaggio, investigador en Analyst1, ahora es “muy probable” que la policía haya estado detrás del cierre del 13 de julio.
Esto se opone a la reciente desactivación del servidor REvil en octubre. En octubre los operadores de REvil se dieron cuenta de que les habían copiado sus claves de su infraestructura y desactivaron los servidores.
En septiembre, los operadores de REvil restauraron las operaciones a partir de una copia de seguridad que resultó estar bajo control del gobierno. Los operadores de REvil, incluido un líder importante llamado 0_neday
, restauraron los sitios web del grupo desde una copia de seguridad sin darse cuenta de que las autoridades estaban controlando algunos de los sistemas internos de la banda.
GoldDust involucró a 17 países, Europol, Eurojust e INTERPOL. Además de incautar la infraestructura de REvil, también dio lugar al lanzamiento de tres herramientas de descifrado a través del proyecto No More Ransom. Este proyecto ha salvado más de 49,000 sistemas y ahorrado más de 69 millones de dólares en rescates no pagados hasta ahora, según Europol.
Orígenes de GoldDust
Los inicios de GoldDust se remontan a 2018, cuando Europol respaldó una investigación en varios países, encabezada por Rumanía, sobre la familia de ransomware GandCrab.
En 2019, los operadores de GandCrab supuestamente se retiraron después de afirmar que habían recaudado casi $2 mil millones de dólares en poco más de un año. Eso incluyó las ganancias de un próspero negocio de RaaS, así como $150 millones para los propios operadores. Los operadores afirmaron que ganaban un promedio de $2.5 millones por semana.
Pero no todos se limitaron a descansar y relajarse. Más bien, se cree que algunos afiliados de GandCrab se movieron a la operación REvil. En septiembre de 2019, investigadores inspeccionaron el malware que había afectado a 22 municipios de Texas y varias oficinas de dentistas en todo el país y encontraron que las funciones de decodificación de cadenas empleadas por REvil y GandCrab eran casi idénticas. De hecho, la actividad de REvil se disparó después del aviso de retiro de GandCrab.
Como cuenta Europol, GandCrab fue una de las familias de ransomware más prolíficas, con más de 1 millón de víctimas en todo el mundo. Su filial, REvil, ha hecho su parte para mantener la “reputación”. Además de Kaseya, también estuvo detrás de un ataque al proveedor mundial de carne JBS Foods.
REvil también se ha relacionado con el ataque a Colonial Pipeline, según Reuters. Fue precisamente Reuters que dio la noticia de que las autoridades pusieron trampas en las copias de seguridad de la banda para realizar un seguimiento de todas sus operaciones. Anteriormente se presumía que el culpable del ataque a Colonial era un grupo de ransomware llamado DarkSide.
Bitdefender publica los resultados del descifrador universal de REvil
Además de las noticias del Departamento de Justicia y Europol, el lunes fue un mal día para REvil. Ese día Bitdefender publicó los resultados de su descifrador universal para REvil. Según Bitdefender, hasta ahora, ha ahorrado a las empresas más de $550 millones en pagos de rescate.
En septiembre, Bitdefender lanzó la clave descifradora universal gratuita para desbloquear datos de organizaciones victimizadas que fueron cifradas por ataques del ransomware REvil/Sodinokibi. El descifrador funciona para todos los ataques efectuados antes de que los servidores de la banda colapsaran el 13 de julio.
El descifrador de septiembre fue una gran noticia, no la decepción del mes anterior, cuando Kaseya consiguió una clave maestra. En ese momento, se pensó por primera vez que la clave podría desbloquear todos los ataques de REvil que ocurrieron al mismo tiempo que los de Kaseya. Desafortunadamente, pronto quedó claro para los investigadores que el descifrador era solo para los archivos bloqueados en el ataque de Kaseya.
Alexandru Catalin Cosoi, director senior de la unidad de investigación y análisis forense de Bitdefender, dijo el lunes que la cantidad de solicitudes de soporte técnico recibidas después del lanzamiento del descifrador es “insignificante”.
Variantes de REvil
Bitdefender no ha visto muchos cambios en el código de las variantes de ransomware analizadas después del 13 de julio, excepto por la eliminación de una clave maestra codificada que supuestamente pertenecía a “Unknown
“, el administrador que desapareció en ese momento. La compañía ha visto varias variantes rastreadas, incluidas algunas con símbolos de depuración en los binarios compilados. Todas las variantes “fueron empaquetadas por afiliados de diferentes maneras para facilitar la evasión de las soluciones anti-malware”.
Bitdefender también ha estado rastreando una variante desarrollada para computadoras con Linux. Sin embargo, a diferencia de la contraparte de Windows, rara vez estaba ofuscada o empaquetada, dado que la mayoría de los servidores Linux objetivo rara vez ejecutaban soluciones de seguridad dedicadas.
En cualquier caso, la empresa actualiza constantemente sus descifradores para solucionar los ataques más recientes.
Nuestra misión es ayudar a tantas víctimas como sea posible y hacer que vuelvan a funcionar en el menor tiempo posible. Y, eso incluye un nuevo descifrador para manejar lo que sea que REvil les arroje a las víctimas. No podremos ofrecer un cronograma para el lanzamiento de una nueva herramienta REvil, pero estamos trabajando en ello.
Alexandru Catalin Cosoi
Los arrestos son solo un ‘pequeño obstáculo’
DiMaggio de Analyst1 es ambivalente sobre los arrestos y cargos presentados contra supuestos afiliados de REvil. Es “un paso en la dirección correcta”, afirmó, y “solo puede ayudar a disuadir este tipo de actividad cuando las autoridades identifican a los ciberatacantes, dándoles nombres y rostros que eliminan el anonimato que Internet les permite obtener”.
Aun así, las bandas cibernéticas como REvil no están exactamente asustadas. Ellos tienen poco miedo a los Estados Unidos o las autoridades, y los arrestos de hoy solo corroboran que la banda principal, que reside en Rusia, es intocable. Es importante recordar que las personas arrestadas son solo afiliados, no los verdaderos operadores.
La banda principal sigue libre y puede operar y continuar sus actividades delictivas porque están bajo la protección de Rusia, que no los ve como criminales. En otras palabras, los arrestos del lunes parecen “más un obstáculo que un bloqueo de carretera.”
Bajo la protección de Rusia
Hablar sobre los arrestos en los foros criminales es causa de bromas y burlas hacia las autoridades.
En Rusia, literalmente, no tienen miedo de ser arrestados. Los ciberdelincuentes emiten comentarios como, ‘protege la patria, la patria te protege a ti’. Esta es más evidencia para apoyar eso. Muchos de los ciberdelincuentes pusieron íconos de la bandera rusa en sus mensajes en los foros. No estamos diciendo que no tengan miedo, pero los verdaderos jefes, al menos, en los foros, están callados, no han emitido comentarios sobre los arrestos.
Resurgimiento de REvil
Lo que va a paralizar el renacimiento de REvil mucho más que los arrestos de los supuestos afiliados de la banda es cómo se pegaron un tiro en el pie engañando a sus afiliados con los pagos. En septiembre, se corrió el rumor de que los operadores de REvil traicionaron a los propios afiliados de la banda para obtener los rescate mediante el uso de chats dobles y una puerta trasera para secuestrar los pagos. Un día después, esos afiliados acudieron al principal foro de hacking ruso para renovar sus demandas de que REvil desembolsara su parte robada.
REvil podría intentar cambiar de nombre, pero no le haría mucho bien a la banda. Los investigadores de seguridad pueden identificar las bandas de ransomware semanas después de cambiar su nombre, dado que siempre regresan con un código que solo se modifica, no se reescribe desde cero. Si los investigadores de seguridad pueden hacer eso, podemos apostar a que los miembros de otras bandas de ransomware también pueden hacerlo.
“No creo que veamos a REvil regresar y hacer mucho”, predice un experto de seguridad. “No es la verdadera banda principal. Probablemente tendrán que ir por caminos separados. No es la última vez que los vemos, pero es la última vez que los vemos trabajando juntos”, concluyó.