REvil, grupo de piratería detrás de un importante ataque de ransomware, desaparece

Apenas unos días después de que el presidente Biden llamara al presidente Vladimir V. Putin de Rusia y le exigiera que actuara para cerrar los grupos de ransomware que están atacando objetivos estadounidenses, el más agresivo de los grupos se desconectó repentinamente el martes por la mañana, terminando las negociaciones sobre el pago de rescates y incluso bajando la página donde se jactaba de sus esquemas de extorsión más exitosos.

El misterio es quién hizo que eso sucediera.

El grupo, llamado REvil, abreviatura de «Ransomware evil», ha sido identificado por las agencias de inteligencia estadounidenses como responsable del ataque que derribó a uno de los productores de carne más grandes de Estados Unidos, JBS. Dos semanas después de que Biden y Putin se reunieran en Ginebra el mes pasado, REvil se atribuyó el mérito de un ataque que afectó a miles de empresas en todo el mundo durante las vacaciones del 4 de julio.

Ese último ataque llevó al ultimátum de Biden en una llamada telefónica el viernes al presidente ruso. Más tarde, Biden dijo que «esperamos que actúen», y cuando un reportero le preguntó más tarde si eliminaría los servidores del grupo si Putin no lo hacía, el presidente simplemente dijo: «Sí».

Puede que haya hecho exactamente eso. Pero esa es solo una posible explicación de lo que sucedió alrededor de la 1 am hora del Este el martes, cuando los sitios del grupo en la dark web desaparecieron repentinamente. Atrás quedó el «blog feliz» disponible públicamente que mantenía el grupo, enumerando a sus víctimas, y los grupos de seguridad de Internet dijeron que los sitios personalizados donde las víctimas negocian con REvil sobre cuánto pagarán para desbloquear sus datos también faltaban.

Si bien su desaparición fue celebrada por muchos que ven el ransomware como un nuevo flagelo, uno que Biden ha calificado como una amenaza crítica para la seguridad nacional, dejó a algunos de los objetivos del grupo en la estacada, incapaces de pagar el rescate para recuperar sus datos y sus negocios vuelven a funcionar.

«¿Cuál es el plan para las víctimas?» preguntó Kurtis Minder, director ejecutivo de Groupsense, una empresa de protección de riesgos digitales que estaba negociando con los extorsionadores en nombre de un bufete de abogados regional cuyos datos fueron robados.

Había tres teorías principales flotando sobre por qué REvil, que parecía deleitarse con la publicidad y cosechó enormes rescates, incluidos $ 11 millones de JBS, desapareció repentinamente.

Una es que Biden ordenó al Comando Cibernético de los Estados Unidos, que trabaja con las agencias de aplicación de la ley nacionales, incluido el FBI, que derribe los sitios del grupo. Cyber ​​Command demostró el año pasado que podía hacer precisamente eso, paralizando a un grupo de ransomware que temía podría convertir sus habilidades en congelar los registros de votantes u otros datos electorales en las elecciones de 2020.

La segunda teoría es que Putin ordenó que se retiraran los sitios del grupo. De ser así, sería un gesto para prestar atención a la advertencia de Biden, que ofreció, en términos más generales, cuando los dos líderes se reunieron el 16 de junio en Ginebra.

Y una tercera es que REvil decidió que el calor era demasiado intenso y derribó los sitios para evitar quedar atrapado en el fuego cruzado entre los presidentes estadounidense y ruso. Eso es lo que hizo otro grupo con sede en Rusia, Darkside, después del ataque de ransomware a Colonial Pipeline, la compañía estadounidense que tuvo que cerrar la gasolina y el combustible para aviones que circulaban por la costa este en mayo.

Pero muchos expertos piensan que el movimiento de salida del negocio de Darkside fue un teatro digital, y que todos los talentos clave del ransomware se reunirían con un nombre diferente. Si es así, podría suceder lo mismo con REvil.

Hace solo unos meses, el ransomware se consideraba en gran medida un problema delictivo. Pero después del ataque a Colonial Pipeline, Biden y sus asesores comenzaron a declarar que los ataques que amenazan la infraestructura crítica constituyen una importante amenaza para la seguridad nacional.