El Servicio de Seguridad Federal de Rusia (FSB) y el Departamento de Investigación del Ministerio del país han llevado a cabo una operación contra REvil que ha culminado con la detención de 14 de sus integrantes. Según las autoridades rusas, tras este duro golpe, la organización criminal ha dejado de existir, pero algunos lo ponen en duda, ya que se cree que los arrestados eran afiliados de bajo nivel y no sus líderes.
“La base de las actividades de búsqueda fue el llamamiento de las autoridades estadounidenses competentes, que informaron sobre el líder de la comunidad criminal y su participación en las invasiones de los recursos de información de empresas extranjeras de alta tecnología mediante la introducción de software malicioso, el cifrado de información y la extorsión de dinero. para su descifrado,” informó el FSB en una nota de prensa.
14 de sus integrantes han sido arrestados, pero ¿es realmente el final de la banda?
Tras el ataque a Kaseya, el gobierno de Estados Unidos se puso serio frente a este tipo de amenazas que comenzaban a resultarle un verdadero dolor de cabeza. Ante la sospecha de que el grupo operaba desde Rusia, le lanzaron una especie de ultimátum a Putin: si el gobierno ruso no tomaba medidas contra estas bandas residentes en su territorio, ellos las tomarían por su cuenta.
Sin embargo, no ha sido hasta ahora cuando las autoridades del país han actuado con contundencia. Como bien dicen, gracias a la información proporcionada por EE.UU. sobre uno de sus líderes, han podido llevar a cabo esta operación en 25 direcciones de Moscú, San Petersburgo, Leningrado y Lipetsk, donde residían los 14 presuntos delincuentes detenidos.
Aparte de realizar esos arrestos, las fuerzas policiales incautaron más de 426 millones de rublos, 500.000 euros y 600.000 dólares, así como monederos de criptomonedas, ordenadores y 20 coches de alta gama, obtenidos gracias a los beneficios de sus actividades delictivas.
El FSB asegura que ha identificado a todos los miembros de REvil, que han sido acusados de “circulación ilegal de medios de pago”, delito tipificado así en el Código Penal de Rusia. Además de secuestrar y comprometer los datos de muchas compañías, se les atribuye el robo de dinero de cuentas bancarias extranjeras. Aunque algunos dudan de que este movimiento haya supuesto el fin definitivo de la banda, ya que consideran que los detenidos eran afiliados de bajo nivel y no los líderes que mantienen sus operaciones de ransomware como servicio (RaaS).
"Yelisey Boguslavskiy, research director at @AdvIntel, said those arrested are likely low-level affiliates — not the people who ran the ransomware-as-a-service, which disbanded in July."
Also: @latimes https://t.co/b3KQqmWiyQ
— Yelisey Boguslavskiy (@y_advintel) January 15, 2022
REvil, enemigo acérrimo de Estados Unidos
REvil lleva haciendo de las suyas desde 2019, pero cuando realmente se dieron a conocer fue cuando comenzaron a comprometer las redes algunas infraestructuras críticas de Estados Unidos. Es el caso del ataque al oleoducto Colonial Pipeline, que dejó en evidencia sus sistemas de seguridad y puso contra las cuerdas a todo el país en mayo de 2021. Pero la cosa no acabó ahí, esto sólo fue su carta de presentación de cara al mundo.
Tan sólo unas semanas después, lanzaron un ataque de ransomware contra la proveedora de carne JBS, también estadounidense, que se saldó con el pago de un rescate de 11 millones de dólares por parte de la compañía a cambio de la liberación de los datos comprometidos. Kaseya fue la última víctima notoria de REvil y el ataque fue demoledor, sobre todo por los daños colaterales que provocó, ya que acabó afectando a aproximadamente 1.500 de sus empresas clientes. Los ciberdelincuentes les exigieron el pago de 70 millones de dólares a cambio de descifrar los archivos secuestrados, posiblemente, la cifra más elevada hasta la fecha.
El caso Kaseya
No obstante, Kaseya no estaba interesada en abonar dicha cantidad, así que se puso manos a la obra para intentar resolver el problema por su cuenta. Semanas después, aseguraron que habían conseguido una clave de descifrado gracias a un “tercero de confianza”, que permanece en el anonimato hasta hoy y la distribuyeron entre sus clientes con el fin de restaurar sus sistemas. Como comentamos, para el gobierno de Biden, este ataque fue la gota que colmó el vaso e instó a las autoridades rusas a tomar medidas contra las bandas de ciberdelincuentes que residían en su territorio porque si no lo harían ellos.
Días después del ataque, REvil desapareció del mapa. Varios de sus servidores dejaron de estar disponibles, por lo que muchos pensaban que habían sido derrotados, pero nada más lejos de la realidad. En septiembre de 2021, la banda volvió a habilitar dos de sus sitios. Los motivos de este retorno inesperado no están muy claros, pero una de las hipotesis más plausibles señala que, ante la creciente presión de las autoridades, quisieron pasar desapercibidos una temporada .
Y aquí viene el giro de guión. El FBI había logrado comprometer las copias de seguridad de REvil, por lo que cuando estos trataron de restaurar sus servidores, quedaron inoperativos. Sin duda, el hecho de que su principal arma se volviera contra ellos tiene algo de justicia poética.
La institución policial llevaba semanas desarrollando esta operación secretamente desde el ataque a Kaseya. De hecho, ya tenían en su poder las claves de descifrado que la proveedora de software adquirió 3 semanas después, por lo que algunos criticaron duramente su decisión de mantenerlo en secreto. El FBI se justificó diciendo que, de haberse dado a conocer, REvil también habría estado al tanto, lo que habría supuesto un fracaso para la operación.
