Los servidores de REvil vuelven a estar en línea. Tras casi 2 meses de desaparición, el “blog feliz” («happy blog«) de la popular banda de ransomware parece estar de nuevo operativo, aunque aún se desconocen las causas relacionadas tanto con su repentina desaparición como con su retorno.
Sin duda, REvil es uno de los actores de amenazas que más ha dado que hablar en los últimos meses. Y es que la organización criminal puso contra las cuerdas al menos a 360 compañías con sede en Estados Unidos, incluyendo los ciberataques a infraestructuras críticas como la petrolífera Colonial Pipeline o la distribuidora cárnica JBS Foods.
El 2 de julio, Kaseya se convirtió en una de sus últimas víctimas de ransomware, lo que afectó a más de 1.500 empresas a las que proveía con su software. En un principio, REvil demandó un rescate de 70 millones a cambio de la clave de descifrado que liberaría la información secuestrada, sin embargo, poco después, decidieron bajar el precio a 50 millones de dólares y exigir el pago de 49.000 dólares a todos los clientes comerciales que se vieron salpicados por el incidente.
La misteriosa desaparición de la banda de ransomware
Precisamente, el 13 de julio, tan solo unos días después de este episodio, REvil desapareció misteriosamente del mapa, puesto que todos sus sitios web dejaron de estar disponibles repentinamente. Aún a día de hoy, se desconocen los motivos por los que la banda tomé esa decisión, e incluso se cuestiona si fueron ellos u otros agentes los responsables de que sus servidores dejaran de estar operativos.
Para algunos, el motivo de esta “huida” es que REvil estaba llamando demasiado la atención y quería alejarse del foco de las autoridades. Esta teoría es bastante plausible, dado que, tras el incidente de Kaseya, Joe Biden se puso bastante serio con los ciberdelincuentes. Con la sospecha de que estos criminales operaban desde Rusia, el presidente de Estados Unidos dio un ultimátum a Vladimir Putin: si el gobierno ruso no actuaba contra REvil, serían ellos los que tomarían medidas.
Días después, REvil desapareció y Kaseya anunció que un “tercero de confianza” (aún desconocido) les había proporcionado una clave para recuperar los datos comprometidos. Según algunas hipótesis, dicho “tercero” no es otro que el gobierno de Rusia que, como acto de buena fe, le facilitó la clave al FBI y, a su vez, estos se la suministraron a Kaseya.
Por lo tanto, según esa teoría Rusia fue la responsable de dejar a REvil fuera de juego a fin de no deteriorar sus relaciones diplomáticas con el país norteamericano. No obstante, ambos gobiernos negaron haber tenido algo que ver con este asunto.
¿El retorno de REvil?
Desde el pasado martes, REvil ha vuelto a las andadas para sorpresa de todos. Al contrario de lo que muchos pronosticaban, la banda de ransomware ha reaparecido con el mismo nombre, algo que no tiene mucho sentido si su intención era la de pasar desapercibida. Por ello, hay algunos que no atribuyen este retorno al grupo criminal, sino a la actuación de las autoridades o a un error en sus servidores.
REvil's data leak site is back.
Latest entry is for a victim who was added on July 8th, just 5 days before REvil's sites went offline.
Still unclear what happened, but they left victims without the ability to negotiate, so it's more than just a break.https://t.co/d3LvY4VOFT
— Lawrence Abrams (@LawrenceAbrams) September 7, 2021
De momento, no todas sus plataformas han resurgido, pero sí que vuelve a estar disponible su página de filtración de datos “happy blog” y su sitio de negociación en Tor, aunque, al parecer, este último todavía no funciona correctamente, ya que no permite que las víctimas puedan iniciar sesión con éxito.
Según Bleeping Computer, la última víctima de la organización data del 8 de julio de 2021, tan solo 5 días antes de su desaparición; por lo que algunos perdieron la posibilidad de ponerse en contacto con ellos para poder negociar el rescate. Si realmente son ellos, es posible que REvil lance un comunicado próximamente y podamos conocer más detalles al respecto.
Si quieres saber más sobre sobre este tipo de bandas, puedes ver cuál es el perfil del objetivo preferido de los ciberdelincuentes o cuál es su actual modus operandi.
