La infraestructura de la web oscura utilizada por el sindicato de ransomware REvil (también conocido como Sodinokibi) se desconectó el martes 13 de julio, pero aún no hay claridad sobre el motivo, lo que deja a la comunidad de seguridad sin entender exactamente qué sucedió.
En el momento de escribir este artículo, hay varios escenarios igualmente plausibles detrás de la repentina desaparición de la pandilla REvil. Podría ser un asunto tan simple como un problema técnico o una ruptura interna entre sus operadores.
Los miembros de la pandilla también podrían estar mintiendo en un intento por evitar ser objeto de represalias por parte de la policía luego de su reciente ataque de alto perfil contra Kaseya, o incluso podrían haber sido comprometidos y arrestados.
Los equipos de ransomware también desaparecen con frecuencia y se reorganizan antes de hacer un gran reingreso con un nuevo proyecto; de hecho, se cree que REvil ha hecho esto antes, y los actores detrás de él probablemente sean los mismos que están detrás de una antigua cepa de ransomware conocida como GandCrab. También existe la posibilidad de que la pandilla haya cobrado y huido.
En cualquier caso, la desaparición de la pandilla es motivo de silenciosa celebración por el momento, como dijo Katie Nickels, directora de inteligencia de Red Canary.
“No sé lo que esto significa, pero a pesar de todo, estoy feliz”, dijo. “Si es un derribo del gobierno, increíble, están tomando medidas. Si los actores voluntariamente se callaron, excelente, tal vez estén asustados. Aún es importante recordar que esto no resuelve el ransomware “.
John Vestberg, CEO y cofundador de Clavister, agregó: “Aunque no está claro la razón exacta por la que los sitios web de ransomware REvil se han desconectado, es un paso positivo en la lucha contra estas bandas de delincuentes cibernéticos.
“Dicho esto, es solo cuestión de tiempo antes de que ocurra otro incidente de ransomware. El ataque a Kaseya fue el último de una serie de incidentes que han causado estragos generalizados, desde el Colonial Pipeline hasta la planta de producción de alimentos JBS en EE. UU. Este no es el momento para que las organizaciones se vuelvan complacientes “.
En el mejor de los casos, el derribo de REvil es el resultado de una redada ofensiva coordinada por parte de la policía en el país de origen de la pandilla, casi con certeza Rusia, lo que sugeriría que las discusiones recientes entre el presidente estadounidense Joe Biden y su homólogo ruso Vladimir Putin fueron más fructífero de lo que nadie en la comunidad cibernética se había atrevido a esperar.
Y este escenario puede contener un elemento de verdad. Citando una fuente con presuntos vínculos con la pandilla REvil, la BBC informó anteriormente sugerencias de que las autoridades estadounidenses habían interrumpido partes de la infraestructura de la pandilla, lo que los obligó a cerrar su operación. La fuente también dijo que la pandilla había estado bajo presión de las autoridades rusas sobre el alcance de su actividad. Estas afirmaciones deben tratarse con mucho escepticismo por ahora.
“Si la interrupción es el resultado de una respuesta ofensiva, esto envía un nuevo mensaje a estos grupos de que tienen una ventana limitada para trabajar”, dijo el estratega jefe de seguridad de Exabeam, Steve Moore.
Jake Moore de ESET dijo que en otros casos, la escala y la amplitud de la mejora de las tácticas de aplicación de la ley claramente ahora traen más éxito en la interrupción de actores maliciosos.
“Aunque el público aún desconoce los detalles de tales tácticas de aplicación de la ley, se destaca que la policía continúa creciendo en sus operaciones y lucha desde diferentes ángulos”, dijo. “Sin embargo, es poco probable que este revés para REvil los disuada por completo. En todo caso, puede estimularlos más “.