¿Ha resurgido REvil? Esa es la pregunta que todo el mundo se hace y el tema que tiene en vilo a la comunidad cibernética. Después de meses de silencio, REvil, la infame banda de ransomware presuntamente basada en Rusia, parece estar de nuevo en línea desde la semana pasada, con un nuevo sitio de filtraciones promocionado en RuTOR. El antiguo sitio del grupo de hackers, Happy Blog, ha regresado, y la lista de víctimas de REvil incluye dos nuevos nombres, lo que hace sospechar lo que está sucediendo.

Vamos a sumergirnos en los detalles de lo que está sucediendo.

REvil: breve historia de los ataques del grupo

REvil comenzó a hacerse notar allá por 2019, aunque algunos ciberexpertos creen que REvil era originalmente una rama de un grupo de hackers anterior, GrandCrab, que ya no está activo. REvil utiliza un modelo de ransomware como servicio (RaaS) en el que los afiliados utilizan su ransomware ya desarrollado para lanzar ataques y compartir el pago del rescate con REvil.

Uno de los primeros grandes ataques de ransomware de REvil se produjo en mayo de 2020. El grupo tuvo como objetivo el destacado bufete de abogados Grubman Shire Meiselas & Sacks (GSMS), robando un terabyte de datos sensibles. Exigieron 21 millones de dólares, aumentando posteriormente la cuota a 42 millones. GSMS se negó a pagar y los piratas informáticos pusieron gran parte de los datos a la venta en Internet.

• Marzo y abril de 2021: El grupo hackeó la fundación educativa londinense Harris Federation, publicando una serie de documentos financieros en su Happy Blog. Un afiliado afirmó haber descargado datos de Acer. Exigió un pago de 50 millones de dólares que más tarde se elevó a 100 millones. REvil robó planos de productos de Apple y Lenovo, exigiendo de nuevo 50 millones de dólares.
• Junio y julio de 2021: En los meses siguientes, REvil lanzó más ataques impactantes. Un ataque de ransomware obligó a JBS S.A. a cerrar plantas y operaciones, lo que llevó a la empresa a pagar el rescate de 11 millones de dólares en Bitcoin. A continuación, REvil lanzó un ataque de ransomware a la cadena de suministro a través del software de gestión de escritorios Kaseya, que afectó a hasta 1.500 pymes, pidiendo 70 millones de dólares para restaurar los datos robados.

Tras el ataque del 9 de julio contra HX5, un contratista de tecnología espacial y de lanzamiento de armas que trabaja con las fuerzas armadas de Estados Unidos, el presidente Biden habló con el presidente ruso Vladimir Putin, insistiendo en que éste tomara medidas contra el grupo. El sitio y la infraestructura de REvil desaparecieron el 13 de julio sin ninguna fanfarria.

A lo largo de 2021, REvil atacó al menos a 360 empresas estadounidenses y fue responsable del 37% de todos los ataques de ransomware.

Según la historia, el FSB de Rusia dijo que había detenido y acusado a 14 miembros de la banda REvil en enero de este año, declarando que el grupo había sido desmantelado. El FSB se incautó de más de 5,5 millones de dólares y 20 coches de lujo.

¿Por qué vuelve REvil a ser noticia ahora?

La dirección TOR onion de REvil de su original Happy Blog está activa, redirigiendo a la gente a un nuevo sitio que detalla sus antiguas y últimas víctimas: Oil India y Visotec Group. Oil India ha dicho que fue víctima de un ataque de ransomware el 10 de abril. Aunque un grupo no identificado exigió 7,5 millones de dólares, los investigadores descubrieron que se utilizó un malware ruso, por lo que se está señalando a REvil. El Grupo Visotec aún no ha revelado ninguna infracción.

También cabe destacar que los antiguos dominios de pago TOR de REvil redirigen a su nuevo sitio, que incluye una página de reclutamiento para los afiliados que quieran unirse a sus filas.

Hay muchas especulaciones sobre el motivo por el que esta supuesta banda rusa vuelve a estar en línea, pero varias teorías han surgido como las principales.

Teoría 1: Algunos expertos en cibernética creen que un nuevo grupo o miembros anteriores de REvil están tratando de aprovecharse de la reputación del grupo o reconstruirla mientras reinician sus actividades.

Teoría 2: Otros afirman que el FSB podría haber creado los nuevos sitios para atrapar a los ciberdelincuentes, pero dado que se han añadido nuevas víctimas, esto parece menos probable.

Teoría 3: Como es imposible ignorar la situación política desencadenada por la invasión rusa de Ucrania y la reacción de Occidente, algunos miembros de la comunidad cibernética sugieren que el propio Estado ruso patrocina en realidad a REvil.

Lo que está claro es que el RaaS que se promociona actualmente en RuTOR es una versión actualizada del ransomware de REvil.

¿Qué deben hacer las empresas ahora?

Hay dos verdades con las que las empresas pueden contar: las bandas cibernéticas pueden ir y venir, pero algunas siempre estarán presentes, y las amenazas se ciernen constantemente. Las personas son arrestadas y eliminadas, pero su malware y, en este caso, su ransomware, están vivos y en buen estado para ser reutilizados y renovados. Esto significa que las empresas deben estar atentas y preparadas.

La mejor manera de mantenerse a salvo es supervisar continuamente su red para poder identificar cualquier actividad maliciosa lo antes posible. Si sospecha que una amenaza real está al acecho en su sistema, el siguiente paso sería iniciar un proyecto de caza de amenazas para determinar lo que está sucediendo.