REvil

REvil (Ransomware Evil; también conocido como Sodinokibi) era una operación de "ransomware como servicio" procedente de Rusia o con miembros que hablaban ruso.^[1][2][3] Después de un ataque, REvil amenazaba publicar la información en su página Happy Blog a no ser que se pagara el rescate. En un caso de alto perfil, REvil atacó un proveedor del gigante de tecnología Apple y robó esquemas confidenciales de futuros productos. En enero de 2022, el Servicio de Seguridad Federal ruso dijo que habían desmantelado REvil y enjuiciado a muchos de sus miembros.

Historia

REvil reclutaba afiliados para distribuir ransomware para ellos. Como parte del arreglo, los afiliados y los desarrolladores del ransomware se dividían las ganancias por los pagos del rescate.^[4] Era difícil señalar su ubicación exacta, pero se pensaba que estaban localizados en Rusia debido a que el grupo no tenía como objetivo organizaciones rusas, o de aquellos países que pertenecían al bloque soviético.^[5]

El código del Ransomware utilizado por REvil se parece al código utilizado por DarkSide, un grupo de hacking diferente; El código de REvil no está disponible públicamente, sugiriendo que DarkSide es una rama de REvil o un socio de REvil.^[6][7] REvil y DarkSide usaban notas de rescate con estructura similar y el mismo código que revisaba que la víctima no estuviera localizada en un país de la Comunidad de Estados Independientes (CEI).^[8]

Expertos en ciberseguridad creían que REvil era una rama de un notable pero extinto grupo de hacking anterior, GandCrab.^[9] Esto se sospecha debido a que REvil se activó justo después de que GandCrab cerrrara, y que ambos ransomware compartan una cantidad significativa de código.

2020

Como parte de sus operaciones criminales, son conocidos por robar casi un terabyte de información de la compañía de abogados Grubman Shire Meiselas & Sacks y reclamando un rescate para no publicar los datos.^[10][11][12] El grupo también intentó extorsionar a otras compañías y personajes públicos.

En mayo de 2020 reclamaron $42 millones a Donald Trump, presidente de EE. UU.^[13] El grupo indicó haber hecho eso descifrando la criptografía de curva elíptica que la empresa utilizaba para proteger sus datos.^[14] Según una entrevista con un supuesto miembro, encontraron un comprador para la información de Trump, pero esto no pudo ser confirmado.^[15] En la misma entrevista, el miembro informó que cobrarían $100 millones por rescates en 2020.

El 16 de mayo de 2020, el grupo liberó documentos legales sumando un total de 2.4 GB relacionado con la cantante Lady Gaga.^[16] Al día siguiente liberaron 169 correos electrónicos "inofensivos" referidos a a Donald Trump o que contenían la palabra "Trump"^[11].

2021

El 2 de julio de 2021, cientos de proveedores de servicio fueron infectados por el ransomware de REvil a través del software de administración remota Kaseya.^[17] REvil demandó $70 millones para restaurar los datos encriptados^[18]. En consecuencia, la cadena sueca de tiendas Coop tuvo que cerrar 800 tiendas durante varios días^[19].

El 7 de julio de 2021, REvil hackeó las computadoras de la empresa de tecnología de lanzamiento de armas HX5, que tiene entre sus clientes a la NASA, el ejército, la armada y la fuerza aérea de Estados Unidos y publicó los documentos robados en su Happy Blog. El New York Times informó que los documentos no eran de "vitales consecuencias"^[20].

El 13 de julio de 2021, los sitios web de REvil y otras de sus infraestructuras desaparecieron de internet. La revista Politico citando a un oficial de alto cargo de la administración de Estados Unidos dijo que no sabían porque las operaciones de REvil habían cesado. El oficial tampoco descartó la posibilidad de que Rusia cerrara el grupo o que lo haya obligado a cerrar^[21].

El 23 de julio de 2021, Kaseya anunció que había recibido las clave de desencriptación para los archivos encriptados en el ataque de ransomware del 2 de julio, procedente de un tercero "confiable". Luego se descubrió que era el FBI que había retenido la clave por 3 semanas y estaba ayudando a las víctimas a restaurar sus archivos. La clave fue retenida para evitar que REvil se entere de los esfuerzos del FBI para sacar fuera de línea sus servidores, lo que probó ser innecesario dado que los hackers desaparecieron de internet sin mayor intervención^[22].

Referencias

1. Bowden, John (13 de julio de 2021). «Russian-based ransomware group 'REvil' disappears after hitting US businesses». The Independent. Archivado desde el original el 13 de agosto de 2021.
2. Collier, Kevin (13 de julio de 2021). «Prolific ransomware gang suddenly disappears from internet. The timing is noteworthy.». NBC News. Archivado desde el original el 12 de noviembre de 2021.
3. Fokker, John (2 de octubre de 2019). «McAfee ATR Analyzes Sodinokibi aka REvil Ransomware-as-a-Service - The All-Stars». McAfee Blogs (en inglés estadounidense). Archivado desde el original el 11 de noviembre de 2021. Consultado el 7 de octubre de 2020.
4. Abrams, Lawrence. «Sodinokibi Ransomware: Following the Affiliate Money Trail». Bleeping Computer (en inglés estadounidense). Archivado desde el original el 5 de julio de 2021. Consultado el 7 de octubre de 2020.
5. Saarinen, Juha (29 de enero de 2020). «No let up on REvil ransomware-as-a-service attacks». it news.
6. SangerPerlroth>David E. Sanger & Nicole Perlroth, F.B.I. Identifies Group Behind Pipeline Hack, New York Times (May 10, 2021).
7. Charlie Osborne, Researchers track down five affiliates of DarkSide ransomware service, ZDNet (May 12, 2021).
8. What We Know About the DarkSide Ransomware and the US Pipeline Attack, Trend Micro Research (May 14, 2021).
9. Vijayan, Jai (25 de septiembre de 2019). «GandCrab Developers Behind Destructive REvil Ransomware». DARKReading.
10. Cimpanu, Catalin. «Ransomware gang asks $42m from NY law firm, threatens to leak dirt on Trump». ZDNet (en inglés). Consultado el 17 de mayo de 2020.
11. Winder, Davey. «Hackers Publish First 169 Trump 'Dirty Laundry' Emails After Being Branded Cyber-Terrorists». Forbes (en inglés). Consultado el 17 de mayo de 2020.
12. Sykes, Tom (15 de mayo de 2020). «'REvil' Hackers Double Their Allen Grubman Ransom Demand To $42m, Threaten To Dump Donald Trump Dirt» (en inglés). Consultado el 17 de mayo de 2020.
13. «Criminal group that hacked law firm threatens to release Trump documents». NBC News (en inglés). Consultado el 17 de mayo de 2020.
14. «Forbes». Forbes.
15. Seals, Tara (29 de octubre de 2020). «REvil Gang Promises a Big Video-Game Hit; Maze Gang Shuts Down». threatpost.
16. Dazed (16 de mayo de 2020). «Hackers have leaked Lady Gaga's legal documents». Dazed (en inglés). Consultado el 17 de mayo de 2020.
17. «Important Notice July 2nd, 2021 – Kaseya». web.archive.org. 3 de julio de 2021. Archivado desde el original el 3 de julio de 2021. Consultado el 17 de marzo de 2022.
18. Satter, Raphael (6 de julio de 2021). «Up to 1,500 businesses affected by ransomware attack, U.S. firm's CEO says». Reuters (en inglés). Consultado el 17 de marzo de 2022.
19. Ahlander, Johan (4 de julio de 2021). «Major ransomware attack against U.S. tech provider forces Swedish store closures». Reuters (en inglés). Consultado el 17 de marzo de 2022.
20. Sanger, David E. (8 de julio de 2021). «Biden Weighs a Response to Ransomware Attacks». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 17 de marzo de 2022.
21. Toosi, Nahal. «Biden official: ‘We don’t know exactly why’ ransomware gang vanished from the web». POLITICO (en inglés). Consultado el 17 de marzo de 2022.
22. «Ellen Nakishima; Rachel Lerman (Septiembre 21, 2021). "FBI held back ransomware decryption key from businesses to run operation targeting hackers". The Washington Post.».

• Datos: Q96400880