Hackers hackeados – el FBI desactivó los servidores de la peligrosa banda de ransomware REvil
La banda de ransomware REvil no está contenta. El motivo es que su sitio de filtración Happy Blog y el sitio de pagos de Tor fueron desactivados una vez más en una operación conjunta de autoridades de varios países.
Según los aportes a Reuters de tres expertos cibernéticos estadounidenses y un exfuncionario, la banda de ransomware REvil recibió una muestra de su propia medicina. Específicamente, un grupo de “hackers” vulneraron los servidores de REvil mediante sus copias de seguridad.
Esos “hackers” eran en realidad agencias policiales y de inteligencia de varios países. El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, se encargaron de esta operación. REvil era el principal objetivo de esta operación conjunta.
REvil recurrió a su propia copia de seguridad
Según fuentes de Reuters, el mes pasado, los operadores de REvil restauraron operaciones desde una copia de seguridad que, al parecer, estaba bajo control de las autoridades.
Los operadores de REvil, incluido un líder importante llamado 0_neday, restauraron los sitios web del grupo a partir de una copia de seguridad recientemente. Sin embargo, no se dieron cuenta que las autoridades estaban controlando algunos de los sistemas internos de la banda.
“La banda de ransomware REvil restauró la infraestructura a partir de las copias de seguridad asumiendo que no se habían visto comprometidas. Irónicamente, la táctica favorita de la banda de comprometer las copias de seguridad se volvió en su contra”.
Oleg Skulkin, subdirector del laboratorio forense de Group-IB
Es irónico, dado que las copias de seguridad se consideran la mejor forma de proteger a las organizaciones de los ataques de ransomware. Si una entidad puede simplemente restaurar sistemas a partir de copias de seguridad, no tiene que pagar para obtener una clave de descifrado para descifrar sus sistemas atacados.
Los atacantes de ransomware lo saben. Por lo tanto, hacen un proceso de destrucción de copias de seguridad para evitar que sus víctimas ignoren los ataques y restauren las operaciones desde esas copias de seguridad después de un ataque.
Hubo muchos rumores sobre lo que le estaba ocurriendo a REvil. No obstante, la semana pasada, un operador de REvil anunció que el grupo de ransomware cerraría operaciones después de que su dominio había sido “secuestrado”.
El operador explicó que una persona no identificada utilizó las claves privadas de Tor del ex portavoz del grupo, “Unknown“, para acceder al dominio.
Resumen de REvil
Esta es la segunda vez en unos meses que los servidores de REvil son desactivados. La primera vez fue el 13 de julio.
Después del cierre de julio de 2021, los operadores de REvil creían que Unknown había desaparecido. Algunos creyeron que el portavoz había muerto.
Pero entonces, alguien usó las claves de Unknown.
REvil declaró que se accedió al dominio de REvil usando las claves de Unknown, lo que confirmó su preocupación de que un tercero tuviera copias de seguridad con sus claves de servicio.
‘Buena suerte’
Durante el fin de semana, 0_neday publicó un mensaje en el foro de delitos cibernéticos XSS, diciendo que se había accedido al dominio de REvil con las claves de Unknown. En un mensaje en XSS capturado y publicado en Twitter por Dmitry Smilyanets, 0_neday dijo que se retiraba de la banda.
El servidor había sido hackeado y estaban al acecho de mí. Quitaron la ruta de mi servicio secreto del archivo torrc y la reemplazaron con la suya, lo que me obligó a apartarme. Lo verifiqué dos veces con otros, y este no fue el caso. Buena suerte a todos; Me voy ahora.”
— Publicación de 0_neday en el foro XSS.
Un operador de REvil confirmó que quienquiera que hubiera secuestrado los sitios de REvil también había eliminado el acceso de 0_neday al servidor de administración oculto de la banda.
REvil estaba reorganizándose
REvil había comenzado recientemente a reclutar nuevos afiliados en el foro RAMP. Flashpoint señaló que el grupo estaba ofreciendo comisiones inusualmente altas del 90 por ciento para atraer afiliados.
No es sorprendente escuchar que en la reintroducción desigual, REvil sentiría la necesidad de atraer a nuevos afiliados con pagos más altos. En septiembre, se supo que REvil había estafado a sus propios afiliados mediante el uso de chats dobles y una puerta trasera que permitía a los operadores de REvil secuestrar los pagos de rescate. Un día después, esos afiliados acudieron al principal foro de hacking ruso llamado Exploit. En dicho foro, reclamaron a REvil para que desembolsara la parte robada de los pagos de rescate.
Es importante señalar que los usuarios de XSS se mostraron muy escépticos cuando REvil se unió al foro RAMP. El 18 de octubre, los moderadores de XSS cerraron el hilo donde REvil hizo su propuesta para nuevos afiliados. Además, aconsejaron a otros usuarios que bloquearan las cuentas de REvil.
Sin duda, el mundo del ciberdelito no está sorprendido por este nuevo desplome de REvil. Lo han interpretado como una prueba de que el resurgimiento de la bandaen septiembre fue “parte de un elaborado complot del FBI para atrapar a los afiliados de REvil”.
Otros ciberdelincuentes creían que REvil volvería a emerger con un nombre totalmente nuevo, dejando atrás escándalos recientes sin tener que pagar a antiguos afiliados.
La cambiante historia de REvil
La banda de ransomware REvil es notoria o, mejor dicho, fue notoria en un momento y, desde julio, cambió. También conocida como Sodinokibi, la lista de víctimas de REvil ha incluido a Kaseya y sus numerosos clientes de proveedores de servicios administrados (MSP). Asimismo, el proveedor mundial de carne JBS Foods e incluso, con bastante audacia, Apple.
Según fuentes de Reuters, también es responsable del ataque a Colonial Pipeline. Fuentes anónimas dijeron al medio que el software de cifrado de DarkSide utilizado en el ataque de Colonial fue desarrollado en realidad por afiliados de REvil. Esta información contradice los informes de meses anteriores sobre un grupo de ransomware llamado DarkSide como responsable del ataque.
Después de que sus servidores se desconectaran en julio, una desaparición que vincularon con las consecuencias generadas por el ataque de Kaseya, REvil volvió a alzar su cabeza viscosa en septiembre.
Septiembre fue un gran mes para REvil. Sus servidores volvieron a estar en línea y una nueva víctima fue incluida en su sitio. Los pagos de ransomware supuestamente se recuperaron y fluyeron. Un nuevo operador de REvil ofreció una explicación de la pausa de dos meses de la banda. Él contó una historia sobre cómo uno de sus programadores se equivocó, generó y emitió un descifrador universal para Kaseya.
Pero no es así como funciona el negocio del ransomware. El mundo del ciberdelito se burló, muchos creyeron que se trataba de algunos lacayos mediocres de REvil de nivel inferior. Los ciberdelincuentes afirmaron que simplemente estaban utilizando el nombre para hacer una estafa de salida.
La importancia de la coordinación multinacional
Para Steve Forbes, un experto en ciberseguridad, la importancia de una acción como esta contra REvil es “difícil de exagerar” en la batalla contra el ransomware. No obstante, acotó que es el camino a seguir mientras la batalla continúa.
El ransomware ha tomado cada vez más protagonismo este año, ya que ha interrumpido las cadenas de suministro globales. A pesar de que no siempre es un método de ataque muy sofisticado, alcanza notoriedad debido a su impacto en el mundo real.
Una combinación de análisis de red para identificar los signos reveladores de un ataque de ransomware y copias de seguridad sólidas son importantes para ayudar a la recuperación. También, operaciones coordinadas entre países es la clave para detener el flujo de ataques de ransomware exitosos en el futuro, finalizó.
Seguramente volverán
Varios expertos afirman que nadie debería asumir que los afiliados de REvil han sido neutralizados. Más bien, todavía tienen hambre de ganancias y es probable que regresen.
Los afiliados de REvil usaban regularmente la doble extorsión, la exfiltración de datos de las redes de víctimas con la amenaza de publicación, para obligar al pago. Estos afiliados permanecen en línea y no divulgan datos porque hacerlo los eliminaría del trabajo futuro con el grupo principal, que efectivamente es su fuente de ingresos.
Dado que el trabajo de REvil se está agotando claramente ahora, los afiliados necesitarán nuevas fuentes de ingresos. No será sorprendente ver [datos] robados vendidos en la web oscura. Podemos anticipar que algunas organizaciones que creían que sus datos estaban seguros porque pagaron un rescate a REvil podrían tener un rudo despertar.
Finalmente, a pesar de las operaciones de las autoridades, es muy posible que los afiliados de REvil ilesos regresen como un grupo de ransomware con otro nombre. Esta es una táctica familiar empleada por los ciberdelincuentes que siguen teniendo la intención de continuar con las operaciones de ransomware.
