Los sitios web de la peligrosa banda de ransomware REvil desaparecieron misteriosamente
Apenas unos días después de que el presidente Biden exigiera que el presidente ruso Putin actuara contra los grupos de ransomware, ocurrió un suceso misterioso. Los servidores de uno de los grupos más grandes y peligrosos de ransomware se han desactivado misteriosamente.
Todos los sitios web oscuros de la notoria banda de ransomware REvil dejaron de funcionar el martes por la mañana. Hasta este momento no está claro si se debe a que la banda de ransomware fue arrestada o si los ciberdelincuentes lo hicieron a propósito.
La operación de ransomware REvil, también conocida como Sodinokibi, utilizaba sitios web normales y sitios clandestinos para sus acciones. Los sitios les permitían negociar rescates, filtrar datos, respaldar su infraestructura de backend y recibir pagos de sus muchas organizaciones victimizadas.
Esa lista de víctimas ha crecido recientemente con la incorporación de Kaseya y sus numerosos clientes de proveedores de servicios gestionados (MSP), así como el proveedor mundial de carne JBS Foods.
Todos los sitios de REvil dejaron de funcionar alrededor de la 1 a.m. Esto no significa que la notoria pandilla haya cerrado operaciones, como enfatizó un experto en ciberseguridad, solamente todos sus sitios están inaccesibles, hasta al menos el martes a las 6:55 p.m. UTC.
Exigencia de Biden a Putin
Una posibilidad: podría ser que Estados Unidos desactivara los servidores. Por otra parte, quizás fue el gobierno ruso. El momento tendría sentido, dado el ruido de sables de la Casa Blanca contra Rusia por la plaga de ransomware.
La desactivación de estos servidores se produce pocos días después de que el presidente Biden llamara al presidente Vladimir Putin de Rusia. En la llamada el presidente estadunidense exigió a su homólogo ruso que cerrara los grupos de ransomware que atacaban objetivos estadounidenses.
Si no lo hace, lo haremos nosotros, dijo Biden. El viernes, cuando un grupo de reporteros le preguntó al presidente si Estados Unidos podría atacar los servidores que los ciberdelincuentes vinculados a Rusia han utilizado para secuestrar redes estadounidenses, él dijo: “Sí”.
Las bandas de ransomware se excedieron
Jake Williams, cofundador y director de tecnología de BreachQuest, dijo que todo es solo especulación en este momento. No obstante, las bandas de ransomware que operan en Rusia “estaban jugando con fuego cuando atacaron Colonial Pipeline”. Él se refiere al ataque de ransomware en Colonial Pipeline previo al fin de semana del Día de los Caídos. Este importante ataque se atribuyó a la banda de ransomware como servicio (RaaS) DarkSide.
“Al gobierno ruso no le importaba que el ciberdelito ocurriera dentro de sus fronteras, pero solo mientras no afectara a la propia Rusia. Eso ha cambiado claramente: el gobierno ruso puede ver claramente que están siendo impactados por las acciones de estos actores. Si REvil fue dado de baja por el gobierno ruso, vio la escritura en la pared y cerró la infraestructura. Esto es simplemente un cambio de marca como lo han hecho muchos grupos (probablemente incluido el propio REvil), o algo más, que desconocemos en este momento”.
Jake Williams
Abundan las teorías. Drew Schmitt, principal analista de inteligencia de amenazas de GuidePoint Security, se hizo eco de la afirmación de Williams. Él también cree que los servidores desactivados podrían atribuirse a varias cosas en este momento.
La falta de respuesta del DNS es un indicador potencial de la participación de las fuerzas del orden público. No obstante, no es suficiente para determinar si el grupo de amenazas cambió su URL, está haciendo mantenimiento o algo similar.
“Una respuesta del DNS no resuelta durante un período corto de tiempo no es necesariamente un indicador sólido sin evidencia correlacionada, declaraciones, etc.”, explicó. “Podría ser una interrupción breve, sin embargo, necesitaríamos más tiempo y pruebas para saber qué es lo que realmente está sucediendo”, acotó.
Incidentes previos
Esta no es la primera vez, en cualquier caso: la semana pasada, el sitio de REvil dejó de funcionar por un corto tiempo, según Schmitt.
Podría ser que REvil eligiera desaparecer, o podría ser que sus servidores hubiesen sido incautados al estilo DarkSide. En el cierre de los servidores de DarkSide, el actor de amenazas publicó en un foro clandestino que había perdido el acceso a la parte pública de su infraestructura. Específicamente, les incautaron los servidores de su blog, procesamiento de pagos y operaciones de denegación de servicio (DoS).
Al Smith, del Proyecto Tor, afirmó que el mensaje “Onionsite Not Found” podría significar algunas cosas. “En términos simples, este error generalmente significa que el sitio Onion está desconectado o desactivado. Para saberlo con certeza, deberíamos comunicarnos con el administrador del sitio .onion ”, dijo.
Los sitios han estado activos recientemente. Pero a partir del martes por la tarde, los visitantes recibían mensajes que indicaban que no podían acceder al sitio. Específicamente, el mensaje decía “No se pudo encontrar un servidor con el nombre de host especificado”.
Eliminación “planificada”
Otro experto en ciberseguridad, John Hultquist de Mandiant Threat Intelligence, afirmó que parece que fue una desactivación intencional y ordenada. Sin embargo, aún no sabemos quién está detrás.
Según el experto “La situación aún se está desarrollando, pero la evidencia sugiere que REvil ha sufrido un desmontaje planificado y simultáneo de su infraestructura. Esto puede haber ocurrido por los propios operadores o mediante la industria o la acción policial.”
REvil ha perdurado mucho tiempo
En cualquier caso, la inaccesibilidad de los sitios web del grupo de ransomware REvil es inusual, según el equipo de investigación de Photon en Digital Shadows. El equipo dijo la infraestructura de REvil “históricamente ha sido más estable que la de otros grupos de ransomware”.
Sugirieron que la interrupción podría deberse a problemas técnicos temporales o actualizaciones. Aunque podría significar una interrupción de las operaciones del grupo por parte de las fuerzas del orden. Pero sí señalaron que, los representantes de REvil “no han aparecido en foros de ciberdelincuentes rusos de alto perfil durante varios días”.
Probablemente esta no sea la última acción de REvil
El equipo de Photon agregó que, si bien la conversación sobre la interrupción es limitada debido a la “actitud hostil de algunos foros en ruso hacia la discusión de ransomware”, algunos actores de amenazas han especulado que incluso si las agencias policiales atacan con éxito a REvil, no significará el final de las actividades del grupo.
Algunos actores de amenazas predijeron que el grupo reaparecerá con otro nombre o se dividirá en grupos más pequeños para atraer menos atención.
Mientras tanto, las ondas de los ataques de ransomware por parte de REvil pueden extenderse durante meses. Eso fue evidenciado por un ataque a la marca de moda Guess que comprometió los datos personales y bancarios de 1.300 víctimas. Esa filtración de datos se produjo después de un ataque de ransomware en febrero infligido a Guess y atribuido a DarkSide.
Guess comenzó a enviar cartas a 1,300 empleados y contratistas cuyos datos personales y bancarios se vieron expuestos durante la filtración.
Pero ¿Es una buena noticia?
Independientemente de si se trata de un cierre permanente o temporal, los servidores desactivados de REvil son motivo de celebración, afirman algunos expertos.
Katie Nickels, directora de inteligencia de Red Canary, comentó en Twitter: “No sé qué significa esto, pero, de todos modos, ¡estoy feliz! Si es una desactivación del gobierno, increíble, están tomando medidas. Si los actores lo hicieron voluntariamente, excelente, tal vez estén asustados”.
¿Importa de cualquier manera? Nickels piensa que no: “Aún es importante recordar que esto no resuelve el ransomware”.
