La pandilla de ransomware REvil puede estar de vuelta en la ciudad


Los sitios utilizados por el infame grupo de delitos informáticos han vuelto a la vida misteriosamente. ¿Eso significa que está de vuelta en el negocio después de un breve respiro?

ransomware.jpg

Imagen: jijomathaidesigners / Shutterstock

Justo cuando pensaba que era un poco más seguro volver a las aguas de su negocio, parece haber resurgido una temida banda de ransomware. Después de un acto de desaparición de dos meses en el que sus servidores conectados a Net se desconectaron, el grupo de ransomware REvil ha vuelto a aparecer. Al menos, dos de sus sitios están respaldados.

VER: Ataque de Kaseya: en qué se parecen los ataques de ransomware a las nuevas empresas y qué debemos hacer al respecto (TechRepublic)

El «Blog site feliz» del grupo a través del cual publicitó alegremente su actividad delictiva y filtró datos robados. apareció el martes, según BleepingComputer. La última víctima encontrada en el sitio se agregó el 8 de julio, unos días antes de que REvil se desconectara.

También está vivo de nuevo el sitio de negociación y pago Tor de REvil en el que trabajaría con las víctimas para obtener el pago de sus demandas de rescate. Pero aunque Joyful Site es funcional, el sitio de negociación no parece estar funcionando completamente, dijo BleepingComputer. Aunque aparece la pantalla de inicio de sesión, las personas no pueden iniciar sesión.

Los analistas y otros han especulado sobre la razón detrás de la repentina reaparición de estos sitios clave. Esto podría ser una señal de que el grupo en sí ha vuelto al negocio y está comenzando a reactivar sus sitios principales. Podría significar que los antiguos miembros de REvil están tratando de despertar bajo diferentes grupos y están recolectando datos de estos sitios. Otra teoría es que los funcionarios encargados de hacer cumplir la ley han vuelto a activar los sitios como una forma de verificar la información.

«Se observa que los grupos de ciberdelincuentes operarán por un tiempo y luego se separarán, formándose en otros grupos», dijo a TechRepublic el defensor de la conciencia de seguridad de KnowBe4, James McQuiggan. «Con esta actividad reciente, lo más possible es que estén recopilando archivos, datos, zero-days u otro malware para usar en su próximo grupo. La otra hipótesis es que las fuerzas del orden han obtenido acceso para analizar los datos de forma forense. De cualquier manera, Es posible que el mal esté fuera de servicio, pero como en la antigua historia griega de la hidra, se corta una cabeza y en su lugar crecen tres más. Lo mismo podría estar ocurriendo con esta actividad «.

REvil, que se ganó un nombre por sí mismo como un grupo de ransomware peligroso y destructivo, fue recientemente responsable de un ataque devastador contra la empresa de TI empresarial Kaseya. El 3 de julio, Kaseya reveló un exploit utilizado contra su Producto VSA, un programa utilizado por los proveedores de servicios gestionados (MSP) para supervisar y administrar de forma remota los servicios de TI para los clientes. La naturaleza de la cadena de suministro del negocio de Kaseya provocó un efecto dominó que cifró los datos en más de 1.000 empresas.

Con mucho gusto tomando el crédito por el ataque, REvil lanzó una oferta interesante. A cambio de $ 70 millones en bitcoins, el grupo publicaría un descifrador universal que permitiría a todas las empresas infectadas recuperar sus archivos. Poco después, Kaseya obtuvo una clave de descifrado common, aunque la empresa dijo que obtuvo la clave de un tercero de confianza.

No mucho después, los sitios en línea de REvil se desconectaron. En ese momento, algunos analistas y expertos especularon que el grupo estaba oculto después de su ataque contra Kaseya. Otros dijeron que el grupo puede haberse disuelto y que es probable que sus miembros resurjan en otros lugares. Y algunos pensaron que el gobierno de EE. UU. U otras entidades oficiales podrían haber cortado el cable en línea del grupo, lo que obligó a cerrar sus sitios.

Otra teoría es que la propia Rusia intervino. REvil es un grupo con sede en Rusia supuestamente vinculado al gobierno ruso o que al menos opera con su permiso tácito. El presidente de los Estados Unidos, Joe Biden habló con el presidente ruso Vladmir Putin después del ataque, como señaló ZDNet. En esa conversación, Biden pudo haber presionado a Putin para que hiciera más sobre el ransomware, tal vez lo que provocó que el presidente ruso obligara a REvil a permanecer bajo o incluso a disolverse.

Ver también



Enlace a la noticia authentic