A pedido de EE. UU., Rusia reúne a 14 afiliados de REvil Ransomware – Krebs on Stability


El gobierno ruso dijo hoy que arrestó a 14 personas acusadas de trabajar para “REvil”, un grupo de ransomware particularmente agresivo que ha extorsionado a organizaciones víctimas por cientos de millones de dólares. El ruso Servicio Federal de Seguridad (FSB) dijo que las acciones se tomaron en respuesta a una solicitud de funcionarios estadounidenses, pero muchos expertos creen que la represión es parte de un esfuerzo por reducir las tensiones por la decisión del presidente ruso, Vladimir Putin, de estacionar 100.000 soldados a lo largo de la frontera del país con Ucrania.

La sede del FSB en la Plaza Lubyanka, Moscú. Imagen: Wikipedia.

el FSB dicho arrestó a 14 miembros del ransomware REvil y buscó en más de dos docenas de direcciones en Moscú, San Petersburgo, Leningrado y Lipetsk. Como parte de las redadas, el FSB incautó más de $600.000 dólares estadounidenses, 426 millones de rublos (~$USD 5,5 millones), 500.000 euros y 20 “automóviles premium” adquiridos con fondos obtenidos del ciberdelito.

“Las actividades de búsqueda se basaron en el llamamiento de las autoridades estadounidenses, que informaron sobre el líder de la comunidad prison y su participación en la usurpación de los recursos de información de empresas extranjeras de alta tecnología mediante la introducción de software malicioso, el cifrado de información y la extorsión de dinero para su descifrado”, dijo el FSB. “Representantes de las autoridades competentes de Estados Unidos han sido informados sobre los resultados de la operación”.

El FSB no dio a conocer los nombres de ninguna de las personas arrestadas, aunque un informe de la agencia de noticias rusa TASS menciona a dos acusados: Roman Gennadyevich Muromsky, y Andrey Sergeevich Bessonov. medio de comunicación ruso RIA Novosti publicó imágenes de online video de algunas de las redadas:

https://www.youtube.com/check out?v=Rj4f-8ayq-Q

Se cree que REvil es una reencarnación de GandCrab, un programa afiliado de ransomware en ruso que se jactó de robar más de $ 2 mil millones cuando cerró en el verano de 2019. Durante aproximadamente los dos años siguientes, el «Weblog feliz» de REvil producen comunicados de prensa que nombran y avergüenzan a docenas de nuevas víctimas cada semana. Un análisis de febrero de 2021 de investigadores de IBM encontró a la pandilla REvil ganó más de $ 120 millones solo en 2020.

Pero todo eso cambió el verano pasado, cuando REvil se asocia trabajando con otro grupo de ransomware: Lado oscuro — atacado Oleoducto Colonial, causando escasez de combustible y picos de precios en los Estados Unidos. Apenas unos meses después, una operación policial en varios países permitió a los investigadores para piratear las operaciones de la pandilla REvil y forzar al grupo a desconectarse.

En noviembre de 2021, Europol Anunciado arrestó a siete afiliados de REvil que colectivamente exigieron rescates por un valor de más de $ 230 millones desde 2019. Al mismo tiempo, las autoridades de EE. «Afiliado de REvil #23».

Está claro que las autoridades estadounidenses conocen desde hace algún tiempo los nombres reales de los principales capitanes y generadores de dinero de REvil. El otoño pasado, el presidente Biden le dijo a Putin que espera que Rusia actúe cuando Estados Unidos comparte información sobre rusos específicos involucrados en actividades de ransomware.

Entonces, ¿por qué ahora? Rusia ha acumulado aproximadamente 100.000 soldados a lo largo de su frontera sur con Ucrania y, según los informes, los esfuerzos diplomáticos para calmar la situación han fracasado. el poste de washington y otros medios de comunicación hoy reporte que la administración Biden acusó a Moscú de enviar saboteadores al este de Ucrania para organizar un incidente que podría darle a Putin un pretexto para ordenar una invasión.

“Lo más interesante de estos arrestos es el momento”, dijo kevin breen, director de investigación de amenazas en Laboratorios de inmersión. “Durante años, la política del gobierno ruso sobre los ciberdelincuentes ha sido menos que proactiva, por decir lo menos. Con Rusia y EE. UU. actualmente en la mesa diplomática, estos arrestos probablemente sean parte de una negociación política mucho más amplia y de múltiples niveles”.

El presidente Biden advirtió que Rusia puede esperar sanciones severas si make a decision invadir Ucrania. Pero Putin, a su vez, ha dicho que tales sanciones podrían causar una ruptura full en las relaciones diplomáticas entre los dos países.

Dmitri Alperovitch, cofundador y exdirector de tecnología de la empresa de seguridad multitudhuelga, llamó a los arrestos de REvil en Rusia “diplomacia de ransomware”.

“Esta es la diplomacia rusa de ransomware”, dijo Alperovitch en Twitter. “Es una señal para Estados Unidos: si no promulga sanciones severas contra nosotros por la invasión de Ucrania, continuaremos cooperando con usted en las investigaciones de ransomware”.

Los arrestos de REvil se anunciaron cuando muchos sitios net del gobierno en Ucrania fueron desfigurado por piratas informáticos con un ominoso mensaje advirtiendo a los ucranianos que sus datos personales estaban siendo subidos a World wide web. “Ten miedo y espera lo peor”, advertía el mensaje.

Los expertos dicen que hay buenas razones para que Ucrania tenga miedo. Ucrania se ha utilizado durante mucho tiempo como campo de pruebas para las capacidades de piratería ofensiva rusa. Los piratas informáticos rusos respaldados por el estado han sido culpados por el 23 de diciembre de 2015 ciberataque a la red eléctrica de Ucrania eso dejó a 230.000 clientes temblando en la oscuridad.

La advertencia dejada en los sitios website del gobierno ucraniano que fueron desfigurados en las últimas 24 horas. La misma declaración está escrita en ucraniano, ruso y polaco.

Rusia también ha sido sospechosa de liberar NoPetya, un ciberataque a gran escala inicialmente dirigido a empresas ucranianas que terminó creando un brote international de malware extremadamente disruptivo y costoso.

Aunque no ha habido una atribución clara de estos últimos ataques a Rusia, hay motivos para sospechar de la mano de Rusia, dijo David Salvo, Subdirector de La Alianza para Asegurar la Democracia.

“Estas son tácticas rusas probadas y verdaderas. Rusia utilizó operaciones cibernéticas y operaciones de información en el período previo a su invasión de Ga en 2008. Durante mucho tiempo ha llevado a cabo ataques cibernéticos masivos contra la infraestructura ucraniana, así como operaciones de información dirigidas a soldados ucranianos y ciudadanos ucranianos. Y no sorprende en absoluto que utilice estas tácticas ahora que está claro que Moscú busca cualquier pretexto para invadir Ucrania de nuevo y culpar a Occidente con su típico estilo cínico”.



Enlace a la noticia unique