El aparente regreso del sindicato de ransomware REvil en medio de la reactivación de su infraestructura y el sitio de filtración de la dark web, conocido como Happy Blog, ha arrojado dudas sobre informes anteriores sobre la desaparición de la tripulación y aún puede anunciar una campaña renovada de ataques de ransomware en los próximos meses. .
El sindicato se desconectó a mediados de julio en circunstancias misteriosas, lo que provocó la especulación de la comunidad de que las autoridades rusas habían presionado a la pandilla para que redujera sus actividades a raíz de su ataque de alto perfil contra Kaseya, que derribó a varias empresas al retirar sus servicios administrados. proveedores.
Otros teorizaron que había habido una pelea dentro de la organización REvil, o que los miembros de la pandilla simplemente habían decidido cobrar y “retirar” REvil para concentrarse en nuevos proyectos, como lo hicieron una vez antes.
La reactivación del Happy Blog de REvil fue recogida por investigadores de toda la comunidad de seguridad, incluidos Emsisoft y Futuro grabado. Varios informes dicen que el portal de pagos del grupo también está disponible una vez más, y Computadora que suena ha confirmado que REvil ataca están teniendo lugar actualmente.
El estratega jefe de seguridad de Exabeam, Steve Moore, dijo que dado que la reactivación de partes de la infraestructura de REvil parece ser una señal de que la operación está nuevamente en funcionamiento, es solo cuestión de tiempo antes de otro ataque significativo.
“Animo a las organizaciones a pensar en esto de dos maneras”, dijo Baker. “Primero, indudablemente tienen comprometida su próxima cadena de suministro de software. La técnica comenzó en el espionaje y ahora se ha prestado para actividades delictivas. Esta campaña aún no ha comenzado, pero lo hará muy pronto.
“Por otro lado, los defensores deberían centrarse más en la intrusión perdida y las opciones de recuperación deficientes y menos en el ransomware. El ransomware es el producto de no poder detectar e interrumpir el ciclo de compromiso, punto ”.
Moore agregó: “Directamente, REvil se tomó el tiempo para reacondicionar, reacondicionar y tomarse unas vacaciones durante el verano. El hecho de que sus sitios vuelvan a estar en línea significa que, nuevamente, están listos para el negocio y tienen objetivos en mente “.
El director de operaciones de seguridad de Talion, Chris Sedgwick, agregó: “Los grupos de hackers que desaparecen cuando las cosas se calientan es algo que hemos visto con frecuencia en el pasado, con casos como Emotet o Anonymous. Cuando los grupos desaparecen, generalmente es para ganar algo de tiempo y quitarles el protagonismo a los organismos encargados de hacer cumplir la ley, y rara vez significa que están desapareciendo para siempre.
“Suponiendo que este es de hecho el mismo grupo de amenazas que opera la infraestructura, esperaríamos ver una nueva variante de ransomware del grupo en un futuro cercano, pero con víctimas mucho más cuidadosamente seleccionadas para mantener a los medios de comunicación y la atención del gobierno fuera de ellas. tanto como sea posible.”
Además de Kaseya, la banda REvil, también conocida como Sodinokibi, y sus afiliados han estado detrás de algunos de los ataques de ransomware más impactantes de los últimos dos años, con víctimas como la firma estadounidense de suministro de carne JBS, el fabricante taiwanés de PC Acer, una ley de Nueva York. firma con clientes famosos, incluidos los cantantes Nicki Minaj y Mariah Carey, y el proveedor de servicios de cambio de divisas Travelex, que finalmente quebró como resultado indirecto de un ataque temprano de REvil a fines de 2019.
Se cree que estos esfuerzos han generado a quienes están detrás de REvil al menos $ 100 millones y posiblemente más.
Incluso si hay otra explicación detrás del aparente resurgimiento de REvil, los equipos de seguridad deberían aprovechar este tiempo para evaluar su postura de seguridad cibernética y planes de respuesta al ransomware. Más información sobre las defensas efectivas contra ransomware está disponible en el Centro Nacional de Seguridad Cibernética del Reino Unido.