Los hackers de REvil caen en la trampa, una operación entre países consigue atacarles
La banda de ransomware han activado sus servidores sin saber que algunos estaban bajo el control de las fuerzas de seguridad.
22 octubre, 2021 10:06Noticias relacionadas
El grupo de ciberdelincuentes, REvil, pretendía volver a la acción tras haber desaparecido durante meses cuando han sido atacados por una operación conjunta entre varios países. La banda estaba especializada en ataques ransomware, un tipo de piratería que están en crecimiento y también sufren empresas e instituciones en España.
Este grupo de hackers desapareció en julio tras haber protagonizado algunos de los ataques más importantes del año. Fueron responsables del bloqueo de la compañía cárnica más grande de Estados Unidos y provocar pérdidas millonarias por su actividad contra un gran número de empresas.
Tal y como explica Reuters, el grupo pretendía volver a actuar cuando ha sido atacado en una operación coordinada entre varios países. La banda ha intentado acceder a sus servidores sin saber que parte del sistema ya estaba bajo el control de las fuerzas de seguridad.
Su propia medicina
REvil ha permanecido en las sombras varios meses, hasta el punto de que los especialistas en ciberseguridad pensaban que estarían formando una nueva banda con otro nombre para confundir a las autoridades. Sin embargo, ellos mismos han activado su propia trampa al conectar sus servidores que contenían sistemas controlados por las autoridades.
El mes pasado, al preparar su regreso, los cibercriminales restauraron sus sistemas desde las copias de seguridad que habían mantenido inactivas todo este tiempo. Lo que no sabían es que algunos de estos sistemas habían quedado bajo el control de autoridades internacionales que ya estaban tras la banda en julio.
"La banda de ransomware REvil restauró su infraestructura a partir de las copias de seguridad, que supuestamente no se habían visto comprometidas", ha explicado a Reuters, Oleg Skulkin, subdirector del laboratorio forense de la empresa de seguridad Group-IB. "Irónicamente, la táctica favorita de la banda, que consiste en comprometer las copias de seguridad, se volvió en su contra".
Las copias de seguridad de todo el sistema son una de las principales defensas que tienen instituciones y empresas, así como usuarios, contra fallos o ataques informáticos. Sin embargo, estas copias deben permanecer desconectadas del resto del sistema y de la red para evitar que sean también infectadas por los hackers.
Un exfuncionario estadounidense, le ha dicho a la agencia de noticias que la operación aún está activa. Aún no hay información detallada que aclare si este golpe ha sido definitivo y han conseguido desconectar a la banda para que no pueda atacar a más compañías.
Contra el ransomware
No se conoce qué país ha sido el responsable de esta acción; fuentes consultadas por Reuters, señalan que ha sido un "socio extranjero del gobierno de Estados Unidos" el que penetró en la arquitectura informática de REvil. Los países están comenzando a tratar este tipo de ciberdelincuencia con la misma severidad que los ataques terroristas.
El FBI ya estaba tras la banda cuando ésta desapareció en julio. La agencia de investigación estadounidense contaba con la clave digital para recuperar los sistemas que la banda había secuestrado de numerosas empresas, pero lo ocultó durante semanas planeando usar esa información contra los hackers.
La banda desapareció antes de que el FBI pudiera articular el golpe y fue una semana más tarde cuando compartieron la clave con algunas empresas afectadas por Kaseya. No obstante, muchas otras empresas pagaron rescates o perdieron grandes sumas de dinero en tratar de restaurar los sistemas con sus copias de seguridad.
REvil llegó a exigir entre 45.000 y 5 millones de dólares por ordenador infectado. Y no es la única banda de este tipo que amenaza a miles de compañías. En los últimos años se ha popularizado que hackers como BlackMatters, REvil y DarkSide encripten los sistemas de empresas en industrias esenciales u hospitales.
Ante esta creciente amenaza, un portavoz de la Casa Blanca ha asegurado que están "construyendo una coalición internacional para responsabilizar a los países que albergan a los agentes ransomware". En este caso sería Rusia, pero también Estados Unidos y Europa han señalado a otras naciones como China por no actuar contra los grupos de hackers que hay en sus países.