El día 28 de septiembre del presente año, se ha organizado un duro golpe contra dos operadores del grupo de amenaza REvil Ransomware (También conocidos como Sodinokibi), coordinado entre la Gendarmería Nacional Francesa, la Policía Nacional Ucraniana y la Oficina Federal de Investigación de Estados Unidos (FBI), con la coordinación estratégica de Europol e INTERPOL, que ha llevado a la detención de dos prolíficos operadores del ransomware conocidos por sus peticiones de rescate (entre 5 y 70 millones de euros), el operativo fue llevado en Ucrania.
En el día del operativo, los policías realizaron 7 registros de propiedades, entre lo que se encontraron $375.000 dólares en efectivo y de dos vehículos de lujo cuyo valor esta por sobre los $250.000 dólares. Además, los investigadores congelaron wallets de criptomonedas por valor aproximado de $1.3 millones de dólares, los cuales se cree que están relacionadas con los pagos de los rescates.
Las fuerzas del orden atribuyen a la banda un centenar de ciberataques, iniciados en abril de 2020, que tuvieron como objetivo entidades norteamericanas y europeas (También latinoamericanas). En cuanto al modus operandi, sigue el típico procedimiento para comprometer red, el despliegue de malware, la exfiltración de datos y, finalmente, el cifrado de todos los archivos locales. Se calcula que los daños totales causados por la banda de REvil Ransomware, estaría superando los $150 millones de dólares.
La Policía Nacional Ucraniana a lanzado un vídeo en su canal de YouTube del como se llevo a cabo el operativo en una de las propiedades de los operadores de Ransomware, junto a las unidades especiales de la policía de dicho país.
Es probable que estas detenciones no acaben con toda una operación del modelo Ransomware-as-a-Service (RaaS). Sin embargo, las fuerzas del orden han estado apuntando cada vez más a miembros individuales como una forma de interrumpir las actividades de las bandas (aunque sea de manera temporal). Debido al gran negocio relacionado a la extorsión a las organizaciones afectadas y de que cada cierto tiempo, algunas bandas de Ransomware han cesando sus operaciones y dando origen a nuevas bandas dedicadas al modelo RaaS.
Los dos sujetos detenidos en los operativos pueden enfrentan una pena de hasta doce años de prisión por violación de dos artículos del código penal del país, uno por interferencia no autorizada en redes y sistemas informáticos, y otro por blanqueo de capitales.
A lo largo que llevamos de este año, se han realizado diferentes operativos y arrestos que se cree que son miembros de las bandas de Ransomware, como lo son: Clop y Egregor.
Más información
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
