El grupo de ransomware REvil fue pirateado y obligado a desconectarse esta semana por una operación en varios países, según tres expertos cibernéticos del sector privado que trabajan con Estados Unidos y un exfuncionario.
Antiguos socios y asociados de la banda criminal liderada por Rusia fueron responsables de un ciberataque en mayo en el Oleoducto Colonial que provocó una escasez generalizada de gas en la costa este de Estados Unidos. Las víctimas directas de REvil incluyen al mejor empacador de carne JBS. El sitio web “Happy Blog” del grupo criminal, que se había utilizado para filtrar datos de víctimas y extorsionar a empresas, ya no está disponible.
Los funcionarios dijeron que el ataque colonial utilizó un software de cifrado llamado DarkSide, que fue desarrollado por los asociados de REvil.
El jefe de estrategia de ciberseguridad de VMWare, Tom Kellermann, dijo que el personal policial y de inteligencia impidió que el grupo victimizara a otras empresas.
“El FBI, junto con el Comando Cibernético, el Servicio Secreto y países con ideas afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos”, dijo Kellermann, asesor del Servicio Secreto de EE. UU. En investigaciones de delitos cibernéticos. la lista.”
Una figura de liderazgo conocida como “0_neday”, que ayudó a reiniciar las operaciones del grupo después de un cierre anterior, dijo que los servidores de REvil habían sido pirateados por una parte anónima.
“El servidor estaba comprometido y me estaban buscando”, escribió 0_neday en un foro de ciberdelincuencia el fin de semana pasado y fue descubierto por primera vez por la firma de seguridad Recorded Future. “Buena suerte a todos; me voy”.
Los intentos del gobierno de EE. UU. De detener a REvil, una de las peores de las docenas de bandas de ransomware que trabajan con piratas informáticos para penetrar y paralizar empresas de todo el mundo, se aceleraron después de que el grupo comprometiera a la empresa estadounidense de gestión de software Kaseya en julio.
Esa violación abrió el acceso a cientos de clientes de Kaseya a la vez, lo que generó numerosas llamadas de respuesta a incidentes cibernéticos de emergencia.
Clave de descifrado
Tras el ataque a Kaseya, el FBI obtuvo una clave de descifrado universal que permitió a los infectados a través de Kaseya recuperar sus archivos sin pagar un rescate.
Pero los funcionarios encargados de hacer cumplir la ley inicialmente retuvieron la llave durante semanas mientras perseguía silenciosamente al personal de REvil, reconoció más tarde el FBI.
Según tres personas familiarizadas con el asunto, los especialistas en cibernética de inteligencia y aplicación de la ley pudieron piratear la infraestructura de la red informática de REvil, obteniendo el control de al menos algunos de sus servidores.
Después de que los sitios web que el grupo de hackers utilizaba para hacer negocios se desconectaran en julio, el portavoz principal del grupo, que se hace llamar “Desconocido”, desapareció de Internet.
Cuando el miembro de la pandilla 0_neday y otros restauraron esos sitios web desde una copia de seguridad el mes pasado, sin saberlo, reinició algunos sistemas internos que ya estaban controlados por la policía.
“La banda de ransomware REvil restauró la infraestructura a partir de las copias de seguridad bajo el supuesto de que no se habían visto comprometidas”, dijo Oleg Skulkin, subdirector del laboratorio forense de la empresa de seguridad liderada por Rusia Group-IB. “Irónicamente, la táctica favorita de la pandilla de comprometer las copias de seguridad se volvió en su contra”.
Las copias de seguridad confiables son una de las defensas más importantes contra los ataques de ransomware, pero deben mantenerse desconectadas de las redes principales o también pueden ser encriptadas por extorsionistas como REvil.
Un portavoz del Consejo de Seguridad Nacional de la Casa Blanca se negó a comentar específicamente sobre la operación.
“En términos generales, estamos llevando a cabo todo un esfuerzo de ransomware del gobierno, incluida la interrupción de la infraestructura y los actores del ransomware, trabajando con el sector privado para modernizar nuestras defensas y construyendo una coalición internacional para responsabilizar a los países que albergan a los agentes de rescate”, dijo la persona. .
El FBI se negó a comentar.
Una persona familiarizada con los hechos dijo que un socio extranjero del gobierno de Estados Unidos llevó a cabo la operación de piratería que penetró en la arquitectura informática de REvil. Un exfuncionario estadounidense, que habló bajo condición de anonimato, dijo que la operación aún está activa.
El éxito se debe a la determinación de la fiscal general adjunta de Estados Unidos, Lisa Monaco, de que los ataques de ransomware en infraestructura crítica deben tratarse como un problema de seguridad nacional similar al terrorismo, dijo Kellermann.
En junio, el fiscal general adjunto principal, John Carlin, dijo a Reuters que el Departamento de Justicia estaba elevando las investigaciones de ataques de ransomware a una prioridad similar.
Tales acciones le dieron al Departamento de Justicia y otras agencias una base legal para obtener ayuda de las agencias de inteligencia estadounidenses y del Departamento de Defensa, dijo Kellermann.
“Antes, no podías hackear estos foros, y los militares no querían tener nada que ver con eso. Desde entonces, los guantes se han quitado”.
© Thomson Reuters 2021
