LinuxParty

Según publica Reuters, y nosotros leímos en Genbeta, ha sido una operación conjunta de varios países llevada a cabo la última semana de octubre de 2021 que ha obligó a REvil a dejar de operar online, impidiendo que el grupo repitiera su 'gesta' veraniega y secuestrara datos vitales de más organizaciones. (realizado a través de los sistemas de Kaseya y que alcanzó cifras récord de un millón de sistemas afectados y peticiones de rescate por valor de 70 millones de dólares)… ha sido hackeado.

«REvil sólo ha sido el primero de la lista». El motivo de ese puesto 'privilegiado' de REvil no se debe únicamente a su ataque masivo de julio, sino también a sus conexiones con otros grupos de cibercriminales similares, como los vinculados al hackeo que unos meses antes había afectado a la mayor empresa de oleoductos de los EE.

Así le devolvieron el golpe a REvil

Uno de los miembros relevantes de REvil, conocido sólo como "0_neday" informó durante ese fin de semana, en un foro de la Dark Web, que los servidores de REvil habían sido pirateados por una entidad anónima:

Tras el ataque a Kaseya, el FBI logró obtener una clave de descifrado universal que permitió a las víctimas recuperar sus archivos sin necesidad de pagar un rescate.

Aunque el mes pasado se generó una fuerte polémica cuando se supo que la agencia había ocultado durante semanas este hecho con la esperanza de poder capturar a miembros de REvil o, al menos, acabar con sus operaciones.

Pero entonces, los servidores de REvil se desconectaron silenciosamente y esas semanas de espera parecían no haber servido para nada. …de tal modo que, cuando '0_neday' y el resto de miembros del grupo restauraron sus servidores a partir de una copia de seguridad el mes pasado, reiniciaron sin saberlo algunos sistemas internos que ya estaban controlados por la policía.

En palabras de Oleg Skulkin, subdirector del laboratorio forense de la compañía de seguridad Group-IB, «REvil restauró la infraestructura de las copias de seguridad bajo el supuesto de que no se habían visto comprometidas. » Contar con copias de seguridad fiables es una de las principales defensas contra los ataques de ransomware, pero si no se mantienen aisladas de las redes principales también pueden terminar siendo encriptadas por extorsionadores como REvil .

Sospechosos afiliados de REvil Ransomware son arrestados

Las autoridades encargadas de hacer cumplir la ley rumanas habían anunciado el arresto de dos personas por sus roles como afiliados de la familia de ransomware REvil, lo que supone un duro golpe para una de las bandas de ciberdelincuencia más prolíficas de la historia.

Se cree que los sospechosos habían orquestado más de 5.000 ataques de ransomware y extorsionado a las víctimas por cerca de 600.000 dólares, según Europol. Los arrestos, que ocurrieron el 4 de noviembre, son parte de una operación coordinada llamada GoldDust , que resultó en el arresto de otros tres afiliados de REvil y dos sospechosos relacionados con GandCrab en Kuwait y Corea del Sur desde febrero de 2021.

Esto también incluye a un ciudadano ucraniano de 22 años, Yaroslav Vasinskyi, que fue arrestado a principios de octubre y ha sido acusado de perpetrar el devastador ataque a la empresa de software con sede en Florida Kaseya en julio de 2021, que afectó a hasta 1.500 empresas posteriores. En total, se dice que los siete sospechosos vinculados a las dos familias de ransomware se han dirigido a unas 7.000 víctimas, mientras que colectivamente exigen más de 200 millones de euros en rescates digitales.

Abreviatura de Ransomware Evil, REvil (también conocido como Sodinokibi) es visto como el sucesor de GandCrab y se ha relacionado con una serie de ataques de ransomware de alto perfil posteriores a su aparición en el panorama de amenazas en 2019. Operando como ransomware-as-a- (RaaS), se sabe que el sindicato de delitos cibernéticos alquila su código fuente de malware a los afiliados, generalmente después de examinar sus habilidades técnicas, quienes, a su vez, son responsables de llevar a cabo los ataques contra las víctimas adecuadas.

Dicho esto, REvil ha tenido unos meses turbulentos a raíz de los ataques de ransomware de Kaseya, en parte impulsados ​​por una serie de medidas tomadas por los gobiernos de todo el mundo para abordar el ecosistema de ransomware, calificándolo como una "creciente amenaza de seguridad global con graves consecuencias". consecuencias económicas y de seguridad ". El 14 de julio, los portales de filtración de datos de la web oscura propiedad del grupo salieron de la red , solo para reaparecer en septiembre después de una pausa de dos meses.

Pero el grupo criminal cerró sus operaciones nuevamente el mes pasado después de que el Comando Cibernético de EE. UU., En asociación con un gobierno extranjero, comprometiera su infraestructura Tor, lo que obligó a sus sitios web a desconectarse, según un informe del Washington Post. Desde entonces, la empresa rumana de ciberseguridad Bitdefender ha puesto a disposición un descifrador universal gratuito que las víctimas de REvil pueden usar para restaurar sus archivos y recuperarse de los ataques llevados a cabo antes del 13 de julio de 2021.

Australia, Bélgica, Canadá, Francia, Alemania, los Países Bajos, Luxemburgo, Noruega, Filipinas, Polonia, Rumania, Corea del Sur llevaron a cabo un amplio esfuerzo internacional de aplicación de la ley para identificar, escuchas telefónicas y apoderarse de la infraestructura utilizada por el cártel de ransomware REvil, Suecia, Suiza, Kuwait, Reino Unido y EE. UU., Junto con el apoyo de Europol, Eurojust e Interpol.

Whatsapp