Las webs administradas en el internet oscuro por el grupo de cibercriminales REvil, responsable de un gigantesco ataque de ramsonware que ha afectado en los últimos días a cientos de empresas en todo el mundo, se volvieron súbitamente inaccesibles este martes, según constataron varios expertos en ciberseguridad. El incidente se produce después de que el pasado viernes. El presidente estadounidense, Joe Biden, sugiriera que su país podría tomar medidas drásticas contra los ataques llevados a cabo desde servidores rusos.
El grupo cibercriminal, también conocido como Sodinokibi. Había recabado decenas de millones de dólares en pagos de rescate a cambio de restaurar los sistemas informáticos saboteados, según informa la agencia Reuters.
El ataque comenzó el pasado 2 de julio cuando los hakcers se infiltraron en la empresa de tecnología Kaseya. Que proporciona servicios de administración de redes y utilizaron sus sistemas para propagar el programa malicioso. El virus ha alcanzado desde entonces a entre 800 y 1.500 empresas, la mayoría en Estados Unidos. El ransomware es un tipo de software malicioso que restringe el acceso a un sistema informático hasta que se pague un rescate.
Más información
The New York Times establece tres hipótesis sobre la súbita desaparición de las páginas de REvil. La primera es que el presidente Biden haya ordenado al cibercomando de los Estados Unidos. Que trabaja agencias como el FBI, tumbar las páginas del grupo de cibercriminales. La segunda es que el apagón de las webs haya sido ordenado por el presidente ruso, Vladimir Putin, como un gesto tras las advertencias de Biden. Y en vísperas de una comisión bilateral para hablar de los ciberataques. La tercera es que el propio grupo criminal haya decidido borrarse temporalmente de internet para no caer en el fuego cruzado entre ambos presidentes. Eso fue lo que hizo DarkSide. Otro grupo con sede en Rusia, responsable del ataque contra el oleoducto Colonial Pipeline que paralizó buena parte del suministro de combustible en la costa este de EE UU el pasado mayo.
“En realidad es difícil saber porque se han desconectado”, explica Igor Unanue CTO de la empresa de ciberseguridad S21Sec. “Es probable que solo estén actualizando sus sistemas, no puede saberse que ha pasado hasta que ellos mismos lo expliquen, si lo hacen. Hay muchos grupos que se desconectan y vuelven otra vez”, cuenta. Unanue asegura que este ciberataque ha sido el tercero más grave en lo que va de año, de entre los grupos que publican en internet sus actividades. “Cada vez los ciberataques son más dañinos”, asegura. “Antes el ransonware tenía como finalidad pedir un rescate, ahora también se chantajea con datos confidenciales y puede ser un método de espionaje industrial”.
Alba Villalba
especialista en el área de ciberinteligencia, explica que rastrear el programa no permite saber quiénes son las personas que están detrás de la acción criminal, porque esta puede ser por encargo. “REvil ha desplegado el ataque, pero pueden haber alquilado el programa”, cuenta. En el caso de Kaseya “no han atacado a las empresas en sí, sino que han atacado un proveedor de servicios, les han infectado este software y a través de una cadena de infecciones han conseguido llegar a cientos de compañía. Claramente el objetivo es económico, pero eso no quita para que puedan contar con patrocinio estatal” afirma.
Kurtis Minder
Fundador de la firma de ciberseguridad GroupSense, aseguró que si el apagón de las páginas se debía a una acción de EE UU eso plantearía algunas cuestiones preocupantes. “Si se trataba de una ofensiva cibernética organizada, espero que hayan considerado los posibles daños colaterales”, dijo en declaraciones citadas por Reuters. Los ciberdelincuentes se hacen con las llaves de los datos cifrados de sus víctimas y si estas llaves se hubieran perdido o destruido “muchas compañías tendrán dificultades para recuperarse”.
“Hay indicios de que REvil fue víctima del desmantelamiento planificado de su infraestructura, ya sea por los propios operadores, o por la industria, o por las autoridades”, aseguró por su parte John Hultquist, de la compañía Mandiant Threat Intelligence, en un mensaje a AFP. Un informe reciente de IBM Security X-Force identificó a Sodinokibi como el grupo más potente de ciberdelincuentes de ransomware, y le atribuyó el 29% de dichos ciberataques en 2020.
