Home Sociedad El grupo de ransomware, REvil, desaparece, después de que sus sitios Tor...

El grupo de ransomware, REvil, desaparece, después de que sus sitios Tor fueran secuestrados

REvil, la notoria banda de ransomware vinculada a Rusia y responsable de los ciberataques de alto perfil a Kaseya, Travelex y JBS a principios de este año, ha vuelto a desaparecer después de que su portal de pago Tor y su blog de filtración de datos, fueran supuestamente secuestrados.

El cierre se produce semanas después de que el grupo reapareciera tras un paréntesis de meses, durante el cual se mantuvo en silencio después de enfrentarse a la presión del gobierno de Estados Unidos, en respuesta a su ataque a Kaseya, que provocó que miles de empresas se infectaran con un ransomware. La noticia del cierre fue anunciada por primera vez por un actor de la amenaza que se sabe que está afiliado a la operación REvil en un post en un conocido foro criminal, descubierto por primera vez por Dmitry Smilyanets de Recorded Future.

El actor de la amenaza dijo que los servicios Tor del grupo fueron secuestrados y reemplazados con una copia de las claves privadas del grupo, probablemente de una copia de seguridad anterior. “El servidor estaba comprometido y estaban buscándome”, se lee en el post. “Para ser precisos, borraron la ruta de mi servicio oculto en el archivo torrc [utilizado para configurar el servicio Tor] y subieron el suyo propio para que yo fuera allí. He comprobado en otros – esto no era. Buena suerte a todos, me voy”.

No está claro quién ha comprometido los servidores de REvil. Un informe de The Washington Post en septiembre decía que el FBI había obtenido las claves de cifrado del grupo para las empresas afectadas por el ataque de Kaseya en julio, pero que el desmantelamiento planeado por la agencia nunca se produjo tras la desaparición del grupo. Otros apuntan a una posible toma de posesión por parte de un antiguo miembro del grupo, conocido como “Unkn”, o Desconocido, portavoz del grupo durante mucho tiempo, que no regresó cuando el resto del grupo resurgió en septiembre.

“Como no había confirmación del motivo de su pérdida, reanudamos el trabajo pensando que estaba muerto”, explicaba el actor de la amenaza en su post del foro. “Pero como hoy (17/10), a las 17.10 de las 12:00 hora de Moscú, alguien ha sacado a relucir los servicios ocultos de un aterrizaje y un pantano con la misma clave que el nuestro, mis temores se han visto afectados”.

VX-Underground, un sitio web que aloja código fuente de malware, muestras y documentos, tuiteó que sólo Unknown y el actor de la amenaza que publica en el foro tenían claves de dominio de REvil y que recientemente se accedió al dominio del grupo de ransomware utilizando las claves de Unknown.

Queda por ver si REvil -vinculado a la mayoría de detecciones de ransomware en el segundo trimestre de este año, según McAfee- ha desaparecido definitivamente. Pero desde la reaparición por sorpresa del grupo en septiembre, ha tenido dificultades para reclutar usuarios, lo que ha llevado al grupo a aumentar sus comisiones de afiliación para atraer a nuevos actores de amenazas.