La aparente caída de REvil, una de las pandillas de ransomware más prolíficas y peligrosas de los últimos años, luego de una serie de redadas por parte de las autoridades rusas, naturalmente ha sido bien recibida por la comunidad de seguridad. Pero esta sensación de alivio debe atenuarse con el conocimiento casi seguro de que el desmantelamiento no significa que la amenaza del ransomware esté más cerca de desaparecer, o que la narrativa pública sobre el final de REvil es completamente lo que parece.
Lo que podemos decir con certeza es que el golpe mortal contra REvil se dio el viernes 14 de enero de 2022, cuando agentes del servicio de seguridad estatal FSB de Rusia, trabajando junto con el Departamento de Investigaciones del Ministerio del Interior de Rusia, realizaron redadas en Moscú, San Petersburgo, y Lipetsk, una pequeña ciudad a unos 420 kilómetros al sur de Moscú.
El FSB dijo que la base de las actividades fue la “apelación de las autoridades estadounidenses competentes” que habían compartido con él detalles del líder de REvil y su participación en ataques de ransomware.
La agencia dijo que había establecido la “composición completa” de la pandilla REvil y documentado minuciosamente el alcance de sus actividades. Los acusó de haber desarrollado software malicioso, organizado el robo de fondos de cuentas bancarias fuera de Rusia y de haber cobrado sus ganancias.
El FSB allanó 25 direcciones vinculadas a 14 miembros de la pandilla REvil y recuperó más de 426 millones de rublos, incluidos $600 000 y €500 000 en criptomonedas, criptobilleteras vinculadas, equipos informáticos y, como se ha vuelto común en este tipo de redadas, una serie de artículos de lujo. vehículos
Posteriormente, ocho de los arrestados han sido acusados de delitos en virtud de la Parte 2 del artículo 187 del Código Penal de Rusia, que se relaciona con la circulación ilegal de medios de pago. La agencia de noticias rusa TASS nombró a dos de estos individuos como Roman Muromsky y Andrey Bessonov. Según Reuters, Muromsky era conocido como desarrollador de sitios web especializado en sitios para pequeñas empresas.
Chicos tontos codiciosos
Ziv Mador, vicepresidente de investigación de seguridad de Trustwave Spiderlabs, dedica sus días laborales a explorar la dark web, que describe como una “ventana al alma” de la comunidad ciberdelincuente. Él dice que en los días transcurridos desde la acción “sin precedentes” del FSB, los ciberdelincuentes con sede en Rusia se aterrorizaron de que se les acabó el tiempo y no les queda ningún lugar donde esconderse.
A fines de 2021, Mador publicó una investigación que apuntaba a un grado de preocupación que ya se estaba apoderando de algunos ciberdelincuentes con sede en Rusia, quienes estaban alarmados de que las autoridades rusas los estuvieran persiguiendo activamente. Esto ahora se ha convertido en pánico.
“Hemos visto muchas respuestas en sus foros desde el viernes y están muy descontentos”, dice Mador a Computer Weekly. “Algunos de ellos tienen miedo. Esa sensación de seguridad que solían tener al operar en Rusia, que se consideraba una especie de refugio seguro para ellos, ya no”.
En el pasado, explica Mador, muchos ciberdelincuentes que operaban fuera de Rusia lograron escapar de cualquier problema legal en el que pudieran haberse visto envueltos, pagando sobornos, por ejemplo, pero dado que el FSB actuó sobre la base de las solicitudes de EE. Ahora les queda claro que la acción contra REvil fue firmada al más alto nivel, es decir, por Vladimir Putin.
En otras palabras, dice Mador, los ciberdelincuentes rusos se están quedando sin opciones y sin esperanza. Algunos sugieren destruir la evidencia de sus atracos, rastros de papel, registros de chat, etc. Otros hablan de la posibilidad de salir de Rusia por completo, con posibles refugios seguros que incluyen China, India, países en el Medio Oriente e incluso, por razones desconcertantes para cualquiera que tenga una comprensión superficial de la industria de la seguridad cibernética, Israel.
Algunos de ellos están criticando al grupo REvil porque piensan que se destacaron demasiado y apuntaron a compañías muy poderosas.
Ziv Mador, Trustwave Spiderlabs
“En uno de los comentarios, uno de ellos les recuerda a todos lo duras que son las condiciones en las prisiones rusas, incluso dijo que es mejor estar en una prisión estadounidense que en una prisión rusa. Entonces saben que si van a la cárcel, va a ser muy duro y les da miedo”, dice Mador.
También hay ira dirigida a REvil, con un usuario enojado del foro de la web oscura llamándolos “chicos tontos codiciosos” que atacaron “indiscriminadamente sin entender”. Otro dijo: “Había que pensar antes de escalar y encriptar empresas multimillonarias, escuelas, estados. ¿Con quién se atrevieron a competir?”. Un tercer cartel del foro reflexionó: “Ser una superestrella en nuestra industria es una muy mala idea”.
“Algunos de ellos están criticando al grupo REvil porque creen que se perfilaron demasiado y se dirigieron a empresas muy poderosas. Cuando tienes un impacto tan grande, te conviertes en un objetivo, que es exactamente lo que sucedió”, dice Mador.
Los dias felices estan aqui otra vez
La colaboración entre EE. UU. y Rusia para controlar a REvil es, a primera vista, bienvenida después de años de hostilidad entre las dos potencias en cibernética y otros asuntos, pero probablemente sea demasiado pronto para decir si los arrestos sientan o no un precedente para el futuro. cooperación, como señala Bert Steppé, investigador sénior de la unidad de Defensa Táctica de F-Secure.
Steppé prevé dos escenarios: uno en el que los arrestos fueron únicos y el otro en el que anuncian el comienzo de una cooperación a largo plazo entre los EE. UU. y Rusia en cuestiones cibernéticas. “Espero que sea esto último, ya que creo que es la única forma de enfrentar a las bandas de delincuentes cibernéticos bien organizadas”, dice.
De cualquier manera, probablemente sea mejor no contener la respiración para que estalle la paz. “Los arrestos por parte del estado ruso de perpetradores de delitos cibernéticos internacionales no tienen precedentes en gran medida”, dice Toby Lewis, jefe de análisis de amenazas en Darktrace. “Si bien esto podría sugerir un punto de inflexión histórico en el esfuerzo internacional para contrarrestar el ransomware… sería demasiado pronto para considerar esto como el comienzo de una mayor cooperación, en lugar de una maniobra política a corto plazo”.
El científico jefe de seguridad y CISO asesor de ThycoticCentrify, Joseph Carson, se apresura a poner en marcha las conversaciones sobre un estallido de paz y cooperación entre Rusia y EE. UU. “Estamos en una guerra fría cibernética en este momento. Esa es una realidad. La cibernética es un arma que se ha utilizado”, dice.
Dado que la situación geopolítica regional en Europa del Este sigue siendo altamente volátil e inestable con respecto a la agresión rusa en curso contra Ucrania, algunos comentaristas han especulado sobre un vínculo entre las acciones del FSB y las negociaciones conflictivas entre Moscú y Washington DC.
Tenga en cuenta que la semana pasada también se han visto ataques cibernéticos concertados respaldados por Rusia contra objetivos clave del gobierno ucraniano, aunque estas acciones no están vinculadas a ninguna banda de ransomware conocida.
Entonces, ¿podrían ser los arrestos de REvil un intento de endulzar a los estadounidenses sobre Ucrania o distraerlos de la crisis? Carson admite que, si bien el momento puede sorprender, es casi seguro que se trata de otra cosa.
“Cuando tienes una situación política así en este momento en Ucrania, junto con ataques cibernéticos dirigidos contra Ucrania, y luego, casi al mismo tiempo, el desmantelamiento de una pandilla de ransomware conocida y notoria, no puedes evitar hacer suposiciones de que el tiempo esta conectado [and] mucha gente está tratando de hacer conexiones. Pero no estoy seguro de que esté conectado”, dice.
Carson se basa en las conexiones conocidas entre las bandas de ciberdelincuentes de alto perfil y los grupos APT respaldados por el estado, que en el pasado resultaron estar estrechamente vinculados, para sugerir que lo que realmente motivó la acción del FSB fue en realidad un intento de traer la propia cibernética de Rusia. fuerzas mercenarias bajo control.
“No es que ellos [Russia] están adoptando una postura sobre el ransomware: están mostrando a los otros grupos de ransomware que deben mantenerse en línea. Opere, pero no se deje atrapar, no piratee su infraestructura crítica, no revele información crítica sobre conexiones y asociaciones”, dice.
Un golpe a las bandas de ransomware
Este no es el final de las pandillas de ransomware de alto perfil, aunque tentativamente podemos esperar un período de reducción mientras los ciberdelincuentes deciden qué hacer a continuación.
Steppé de F-Secure dice: “Sospecho que estas pandillas van a ser más cuidadosas con sus objetivos, y [will] abstenerse de atacar cualquier cosa que probablemente cause un gran impacto, por ejemplo, Colonial Pipeline, o atraiga mucha atención de los medios, por ejemplo, Kaseya, hasta que quede claro si los arrestos de REvil son algo único o no. Entonces, sí, creo que es demasiado pronto para saber cuál será el impacto a largo plazo”.
Lewis en Darktrace dice: “Los arrestos que hemos visto anteriormente han tenido un impacto táctico decente contra grupos individuales, pero el próspero mercado de servicios criminales y una lista cada vez mayor de grupos involucrados en ransomware significa que el impacto a través del arresto a menudo es solo un respiro a corto plazo.”
El próspero mercado de servicios penales… significa que el impacto a través del arresto a menudo es solo un respiro a corto plazo
Toby Lewis, Traza oscura
“No creo que sea una victoria famosa. Hay muchos más grupos criminales por ahí”, agrega Carson de ThycoticCentrify, quien señala la cantidad de grupos ciberdelincuentes que han surgido solo en los últimos 12 meses, que ha superado, por cierto margen, la cantidad que se ha eliminado. “No creo que estemos reduciendo la cantidad de pandillas, aunque es posible que estemos creando muchas más pequeñas”.
Un punto positivo para las víctimas es la posibilidad de que el FSB haya incautado y pueda liberar una clave maestra de descifrado; dicha clave ya está disponible en Bitdefender, pero no funcionará para todas las víctimas.
Lewis dice que la existencia de tal clave, o quién la tiene, es aún una incógnita. “Tanto los profesionales de la seguridad cibernética como las víctimas de REvil esperarán ansiosamente si el FSB pudo incautar el par de claves maestras que serían capaces de descifrar todos los datos que REvil había robado anteriormente”, dice. “Esta también será una pregunta que las víctimas actuales que podrían haber estado en negociaciones con REvil en el momento de sus arrestos estarán ansiosas por responder”.
Centrarse en la resiliencia
Una cosa es segura, aquellas pandillas de ransomware que no se han asustado directamente buscarán cambiar rápidamente sus tácticas, técnicas y procedimientos (TTP).
“Para los profesionales de la seguridad, la realidad es que los próximos delincuentes están esperando para atacar. Los próximos atacantes están ahí afuera y van a tener técnicas más efectivas y un software ransomware más exitoso”, dice Carson. “Los grupos criminales aprenden de los errores del pasado y evolucionan para asegurarse de tener éxito en el futuro”.
En los próximos meses, Carson destaca una serie de escenarios que pueden surgir en la clandestinidad criminal en respuesta al derribo de REvil, uno de los cuales es que las pandillas de ransomware, cautelosas de provocar las consecuencias de los grandes atracos de REvil, buscarán un mayor control sobre quiénes son sus socios. y afiliados objetivo. Esto estimulará el desarrollo continuo del modelo de suscripción de ransomware como servicio, con nuevas cepas que incluso podrían incluir listas de objetivos “permitir” y “denegar” en su código.
Para los CISO y sus equipos, el consejo central por ahora sigue siendo centrarse en la resiliencia frente a la evolución anticipada del ransomware y, en particular, implementar estrategias de copia de seguridad adecuadas para el propósito que estén probadas y listas para los ataques de ransomware, de modo que una situación donde debe considerar pagar un rescate, y que puede recuperar datos de manera rápida y efectiva.
Si bien esto no resuelve el problema de la doble extorsión de la fuga de datos, es un paso en la dirección correcta y puede significar la diferencia entre un inconveniente menor y un incidente importante.
