El grupo de ransomware más agresivo de Rusia ha desaparecido. No está claro quién lo hizo

Apenas unos días después de que el presidente Biden instó al presidente ruso Vladimir V. Putin a poner fin a los grupos de ransomware que apuntan a objetivos estadounidenses, el más agresivo de los grupos se desconectó repentinamente el martes temprano.

¿Quién lo hizo? Esa es la intriga

El grupo llamado REvil, abreviatura de “ransomware evil”, ha sido identificado por las agencias de inteligencia estadounidenses como responsable del ataque a uno de los mayores productores de carne de res de Estados Unidos, JBS. Dos semanas después de que Biden y Putin se reunieran en Ginebra el mes pasado, REvil fue acusado de un ciberataque que afectó a miles de empresas de todo el mundo durante las vacaciones del 4 de julio.

Este último ataque resultó en el ultimátum de Biden en una conversación telefónica con el presidente ruso el viernes. Biden dijo más tarde que “esperamos que actúen”, y cuando un periodista le preguntó más tarde si cerraría los servidores del grupo si Putin no lo hacía, el presidente simplemente dijo “sí”.

https://www.latercera.com/resizer/AbKkJjFPQzs-cGkAQbd2pPaY93M=/900x600/smart/cloudfront-us-east-1.images.arcpublishing.com/copesa/335I7MTEOZPR2LKSRVDM5EFUCM.jpg

Quizás eso es exactamente lo que hizo

Pero esa es solo una posible explicación de lo que sucedió alrededor de la 1 a.m. ET del martes cuando los sitios web oscuros del grupo desaparecieron repentinamente.

El “blog feliz” que el grupo anunció al público desapareció, enumerando algunas de sus víctimas y las ganancias del grupo de sus esquemas de chantaje digital. 

Los grupos de seguridad de Internet dijeron que los sitios personalizados, piense en ellos como salas de conferencias virtuales, donde las víctimas negociaban con REvil sobre la cantidad de rescate que pagarían para desbloquear sus datos, también han desaparecido. También desapareció la infraestructura para realizar los pagos.

Aunque la desaparición de la presencia en línea por parte de los piratas informáticos fue bienvenida por muchos que ven el ransomware como una nueva plaga, que Biden identificó como una amenaza crítica para la seguridad nacional, falló en algunos de los objetivos del grupo al ser incapaz de pagar el rescate para recuperar sus datos y volver a encarrilar su negocio.

“¿Cuál es el plan para las víctimas?” Preguntó Kurtis Minder, director ejecutivo de GroupSense, una empresa de protección de riesgos digitales que estaba negociando con chantajistas en nombre de un bufete de abogados cuyos datos habían sido bloqueados.

Hay tres teorías principales sobre por qué REvil, que parecía deleitarse con el ojo público y cobrar grandes rescates, incluidos 11 millones de dólares de JBS, desapareció repentinamente.

Uno de ellos es que Biden dirigió al Comando Cibernético de EE. UU., En colaboración con las agencias nacionales de aplicación de la ley, incluido el FBI, para eliminar los sitios web del grupo. El año pasado, Cyber ​​Command demostró que puede hacer precisamente eso al paralizar a un grupo de ransomware que temía poder usar sus habilidades para congelar los registros de votantes u otros datos electorales en las elecciones de 2020.

La segunda teoría es que Putin ordenó la eliminación de los sitios web del grupo. Si es así, sería un gesto para prestar atención a la advertencia de Biden, que también había dicho de manera más general cuando los dos jefes de Estado y de gobierno se reunieron en Ginebra el 16 de junio. Y solo debería pasar uno o dos días antes de que un grupo de trabajo ruso-estadounidense sobre el tema establecido durante la reunión de Ginebra celebre una reunión virtual.

Una tercera teoría es que REvil decidió que el calor era demasiado intenso y eliminó los sitios para no quedar atrapados en el fuego cruzado entre los presidentes estadounidense y ruso. Esto es lo que hizo otro grupo ruso, DarkSide, después del ataque de ransomware a Colonial Pipeline, la compañía estadounidense que tuvo que cerrar el oleoducto que suministra gasolina y queroseno a gran parte de la costa este en mayo después de que se comprometiera su red informática.

Sin embargo, muchos expertos creen que la salida de DarkSide de la compañía no fue más que un teatro digital y que todos los talentos clave del ransomware del grupo se reunirán con un nombre diferente. En ese caso, lo mismo podría suceder con REvil, que es responsable de aproximadamente una cuarta parte de todos los sofisticados ataques de ransomware contra objetivos occidentales, según estimaciones de Recorded Future, una empresa de ciberseguridad con sede en Massachusetts.

Allan Liska, analista de inteligencia de Recorded Future, dijo que si REvil desaparecía, dudaba que fuera voluntario. “En todo caso, estos tipos son presumidos”, dijo Liska. “Y no vimos notas, ningún alarde. Parece que lo dejaron todo bajo presión”.

Hubo indicios de que la presión pudo haber venido de Rusia. No se espera que el comandante del comando cibernético de EE. UU. y director de la Agencia de Seguridad Nacional, el general Paul M. Nakasone, reciba todas las opciones de acción de EE. UU. Contra los actores del ransomware hasta finales de esta semana, dijeron varios funcionarios. Y no hubo evidencia de que los sitios web de REvil fueran “confiscados” por una orden judicial que el Departamento de Justicia publica con frecuencia.

ramsonware attack example

Cyber ​​Command declinó hacer comentarios.

Si bien cerrar REvil les daría a Putin y Biden la oportunidad de demostrar que están abordando el problema por el momento, también podría brindarles a los actores de ransomware la oportunidad de salirse con la suya con sus ganancias. 

Los grandes perdedores serían las empresas y ciudades que no han recibido sus claves de cifrado y pueden haber perdido sus datos para siempre. (Cuando los grupos de ransomware se separan, a menudo liberan sus claves de descifrado. Eso no sucedió el martes).

Se espera que Biden presente una estrategia contra el ransomware en las próximas semanas, argumentando que Colonial Pipeline y otros ataques recientes muestran que el cierre de infraestructura crítica representa una gran amenaza para la seguridad nacional.

“Y esa es también la razón por la que estamos aumentando el ransomware en nuestros compromisos con Rusia”, dijo el ministro de Relaciones Exteriores, Antony J. Blinken. “Nuestro mensaje es claro: los países que albergan ciberdelincuentes tienen la responsabilidad de actuar. Si no lo hacen, lo haremos nosotros”.

Se espera que el plan esté lleno de incentivos para que las empresas y los gobiernos locales intensifiquen sus defensas básicas. Por ejemplo, las compañías de seguros que suscriben pólizas de seguro cibernético que pagan a las víctimas de ataques pueden insistir en que los clientes se adhieran a estándares de seguridad más estrictos antes de emitir las pólizas.

ramsonware attack example

Pero Biden, quien ha advertido repetidamente que repelerá a los “malos actores” rusos que amenazan la seguridad estadounidense, pronto tendrá que demostrar que planea impulsar su línea roja, si no contra REvil, luego contra sus sucesores y competidores.

“Esto es un problema para Biden porque en cibernética existe la tentación de ser clandestino y enviar su mensaje de manera muy silenciosa y deliberada, pero ahora que ha hecho la amenaza, tiene que hacerlo al público estadounidense y al mundo”, dijo Paul Rosenzweig, un defensor del libre mercado en el R Street Institute y miembro del Grupo de Trabajo Legal de Ciberseguridad de la American Bar Association.

“Y algunos de los efectos más importantes son muy difíciles de lograr en público”, agregó, porque pueden correr el riesgo de revelar las capacidades estadounidenses.

En un artículo en Lawfare publicado poco antes de la inexplicable desaparición de REvil, Jack Goldsmith, un profesor de derecho de Harvard que escribe con frecuencia sobre cuestiones de ciberseguridad, planteó una cuestión clave: si bien Estados Unidos ha amenazado a Rusia con “consecuencias”, tanto las penas para los patrocinados por el estado tanto los ataques como los de ransomware criminal han sido bajos hasta ahora.

“Este discurso ha continuado a pesar de que las operaciones cibernéticas dañinas se han vuelto más comunes y dañinas”, escribió. “Es ineficaz y colectivamente contraproducente”.

Por lo tanto, no es de extrañar que SolarWinds, la compañía en el centro de un truco muy sofisticado que se lanzó durante el turno de Biden en la oficina, justo cuando REvil fue cerrado o al menos de vacaciones, anunció que había sido pirateado de nuevo.

El nuevo incidente no pareció estar en la misma escala que el robo original de SolarWinds, que las agencias de inteligencia estadounidenses dijeron que fue obra de SVR, la agencia de espionaje con mayor conocimiento de Rusia. No está claro si Rusia también estuvo involucrada en el segundo ataque.

Pero hace solo unos meses, Biden impuso sanciones a los funcionarios y autoridades rusos por el daño causado por el primer pirateo de SolarWinds que penetró en el software de gestión de red que la empresa vende a agencias gubernamentales y a la mayoría de las demás grandes empresas estadounidenses. 

Una vez dentro de las actualizaciones de ese software, el S.V.R. tenía acceso a grandes cantidades de datos gubernamentales y corporativos. Eligió solo unos 150 objetivos de los casi 18.000 que descargaron el software.

Smartket
Logo