Actualidad

El peligroso grupo ruso de ransomware ‘REvil’ reaparece

El sitio y la infraestructura de REvil son accesibles en la web oscura.

La luz roja ilumina las teclas de un una computadora portátil.
Por William Turton y Kartikay Mehrotra
08 de septiembre, 2021 | 06:17 AM

Bloomberg — El peligroso grupo criminal de ransomware detrás del ciberataque a JBS SA volvió a la red oscura luego de desaparecer durante el verano.

“REvil”, abreviatura de “Ransomware-Evil”, es una de las bandas de ciberdelincuentes más prolíficas en pedir rescates por datos. El grupo opera desde Rusia, según empresas de ciberseguridad y el gobierno de Estyados Unidos y está acusado de liderar una serie de ataques este año contra empresas y organizaciones, entre ellas JBS. El gigante proveedor de carne brasileño acabó pagando un rescate de US$ 11 millones.

REvil gestiona un sitio web llamado “Happy Blog”, donde publica muestras de datos robados antes de bloquear a las empresas en sus propias redes. Los atacantes intentan entonces persuadir a los objetivos para que paguen por una clave digital para restaurar el acceso a la red.

PUBLICIDAD

Un portal que REvil utiliza para negociar con las víctimas también volvió a estar en línea el martes, según Adam Meyers, vicepresidente de inteligencia de la empresa de ciberseguridad CrowdStrike, aunque la ciberpandilla no ha publicado nuevas víctimas.

Meyers dice que parece que el sitio fue restaurado por los mismos actores que dirigían el portal antes de que se desconectara en junio sin explicación.

“Me parece que este fue un período de enfriamiento”, comentó. “Hubo mucho calor en junio/julio. Tal vez reconstruyeron alguna infraestructura e invirtieron en mejor seguridad operativa”.

PUBLICIDAD

A principios de este año, REvil se atribuyó el mérito de hackear al proveedor de hardware taiwanés Quanta Computer Inc. y en el proceso publicó planos secretos de nuevos dispositivos de Apple Inc. El año pasado, REvil ejecutó un ataque de ransomware contra un bufete de abogados que, según afirmaba, había representado a algunas de las empresas de televisión de Donald Trump.

Las bandas de ransomware llevaron a la administración del presidente Joe Biden a tomar medidas este año después de que atacaran infraestructuras críticas, como proveedores de atención de salud, fabricantes y operadores de gasoductos. Desde entonces, la administración ha implementado una serie de grupos de trabajo destinados a erradicar esta plaga, una ofensiva que coincidió con la salida de muchas bandas cibernéticas de la red.

Ver más: Biden insta a CEOs a mejorar la ciberseguridad de EE.UU. después de ataques

“Normalmente, los grupos se toman un descanso en verano, por lo que solemos ver una cierta desaceleración”, dijo Jake Williams, director de tecnología de BreachQuest. “Este año no ha sido diferente, con una importante pausa veraniega en la actividad de ransomware por motivos financieros. Todavía no he visto un repunte significativo, pero estamos entrando en la ventana en la que estos atacantes regresan de las vacaciones y vuelven a trabajar”.

PUBLICIDAD