07/12/2024

EXCLUSIVO: Los gobiernos le dan la vuelta a la pandilla de ransomware REvil al ponerlos fuera de línea

El grupo de ransomware REvil fue hackeado y obligado a desconectarse esta semana

EEUU

El grupo de ransomware REvil fue hackeado y obligado a desconectarse esta semana por una operación en varios países, según tres expertos cibernéticos del sector privado que trabajan con Estados Unidos y un ex funcionario.

Ex socios y asociados de la banda criminal liderada por Rusia fueron responsables de un ciberataque en mayo en el Oleoducto Colonial que provocó una escasez generalizada de gas en la costa este de Estados Unidos. Las víctimas directas de REvil incluyen al principal empacador de carne JBS (JBSS3.SA). El sitio web “Happy Blog” del grupo criminal, que se había utilizado para filtrar datos de víctimas y extorsionar a las compañías, ya no está disponible.

Los funcionarios dijeron que el ataque colonial utilizó un software de cifrado llamado DarkSide, que fue desarrollado por los asociados de REvil.

El jefe de estrategia de ciberseguridad de VMWare, Tom Kellermann, dijo que el personal policial y de inteligencia impidió que el grupo victimizara a otras compañías.

“El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos”, dijo Kellermann, asesor del Servicio Secreto de Estados Unidos en investigaciones de delitos cibernéticos. “REvil fue el primero de la lista”.

Una figura de liderazgo conocida como “0_neday”, que había ayudado a reiniciar las operaciones del grupo después de un cierre anterior, dijo que los servidores de REvil habían sido pirateados por una parte anónima.

“El servidor estaba comprometido y me estaban buscando”, escribió 0_neday en un foro de delitos cibernéticos el fin de semana pasado y fue descubierto por primera vez por la firma de seguridad Recorded Future. “Buena suerte a todos; Estoy fuera”.

Los intentos del gobierno de Estados Unidos de detener a REvil, una de las peores de las docenas de bandas de ransomware que trabajan con hackers para penetrar y paralizar empresas de todo el mundo, se aceleraron después de que el grupo comprometió a la compañía estadounidense de gestión de software Kaseya en julio.

Esa violación abrió el acceso a cientos de clientes de Kaseya a la vez, lo que llevó a numerosas llamadas de respuesta a incidentes cibernéticos de emergencia.

CLAVE DE DESCIFRADO

Tras el ataque a Kaseya, el FBI obtuvo una clave de descifrado universal que permitió a los infectados a través de Kaseya recuperar sus archivos sin pagar un rescate.

Pero los funcionarios encargados de hacer cumplir la ley inicialmente retuvieron la llave durante semanas mientras perseguía silenciosamente al personal de REvil, reconoció más tarde el FBI.

Según tres personas familiarizadas con el asunto, los especialistas cibernéticos de la policía y la inteligencia pudieron piratear la infraestructura de red informática de REvil, obteniendo el control de al menos algunos de sus servidores.

Después de que los sitios web que el grupo de hackers utilizó para realizar negocios se desconectaron en julio, el principal portavoz del grupo, que se hace llamar “Desconocido”, desapareció de Internet.

Cuando el pandillero 0_neday y otros restauraron esos sitios web a partir de una copia de seguridad el mes pasado, sin saberlo, reinició algunos sistemas internos que ya estaban controlados por la policía.

“La banda de ransomware REvil restauró la infraestructura de las copias de seguridad bajo el supuesto de que no habían sido comprometidas”, dijo Oleg Skulkin, subdirector del laboratorio forense de la compañía de seguridad liderada por Rusia Group-IB. “Irónicamente, la táctica favorita de la pandilla de comprometer a las copias de seguridad se volvió en su contra”.

Las copias de seguridad confiables son una de las defensas más importantes contra los ataques de ransomware, pero deben mantenerse desconectadas de las redes principales o también pueden ser encriptadas por extorsionadores como REvil.

Un portavoz del Consejo de Seguridad Nacional de la Casa Blanca se negó a comentar específicamente sobre la operación.

“En términos generales, estamos llevando a cabo todo un esfuerzo de ransomware gubernamental, incluida la interrupción de la infraestructura y los actores de ransomware, trabajando con el sector privado para modernizar nuestras defensas y construyendo una coalición internacional para responsabilizar a los países que albergan a los actores de rescate”, dijo la persona.

El FBI declinó hacer comentarios.

Una persona familiarizada con los eventos dijo que un socio extranjero del gobierno de los Estados Unidos llevó a cabo la operación de piratería que penetró en la arquitectura de computadoras de REvil. Un ex funcionario estadounidense, que habló bajo condición de anonimato, dijo que la operación sigue activa.

El éxito se deriva de la determinación de la fiscal general adjunta de Estados Unidos, Lisa Monaco, de que los ataques de ransomware en infraestructura crítica deben tratarse como un problema de seguridad nacional similar al terrorismo, dijo Kellermann.

En junio, el fiscal general adjunto adjunto principal, John Carlin, dijo a Reuters que el Departamento de Justicia estaba elevando las investigaciones de ataques de ransomware a una prioridad similar.

Tales acciones le dieron al Departamento de Justicia y otras agencias una base legal para obtener ayuda de las agencias de inteligencia de Estados Unidos y el Departamento de Defensa, dijo Kellermann.

“Antes, no podías hackear estos foros, y los militares no querían tener nada que ver con eso. Desde entonces, los guantes se han desprendido”.

Fuente: https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/

Autor / Redactor / Director