Las autoridades policiales rumanas han detenido el 4 de noviembre a 2 sospechosos, los cuales se cree que son parte de los afiliados (miembros externos de una banda de ransomware, cuyo trabajo es infectar los sistemas de las victimas) de Sodinokibi/REvil, ambos presuntamente responsables de infectar a miles de víctimas al rededor del mundo.
La DIICOT (Dirección de Investigación de la Delincuencia Organizada y el Terrorismo de Rumanía) y los agentes de la policía judicial llevaron a cabo 4 registros domiciliarios en Constanța, en los que se incautaron de dispositivos móviles (laptops y smartphones) y dispositivos de almacenamiento. El Tribunal de Bucarest también ordenó la prisión preventiva para los 2 afiliados a REvil durante 30 días.
El mismo día del operativo, las autoridades kuwaitíes también detuvieron a 1 afiliado de GandGrab Ransomware, siendo los 3 sospechosos los responsables de llevar a cabo más de 7.000 ataques y de pedir más de $200 millones de euros en rescates. En total, junto con los detenidos el 4 de noviembre, las autoridades han arrestado a 7 sospechosos relacionados con REvil y GandGrab desde febrero de 2021.
Otros 3 individuos que se cree que son afiliados a REvil fueron detenidos en Corea del Sur en febrero, abril y octubre del presente año, y uno fue arrestado en Europa el mes pasado.
From @McAfee_ATR we are proud to helped with technical research, identifying key Infrastructure, Suspects & providing custom config extractors for REvil samples. @EC3Europol @PolitieTHTC @FBI @metpoliceuk Together with @BitdefenderLabs and @kpnsecurity https://t.co/LBFRisnSAk
— John Fokker (@John_Fokker) November 8, 2021
El anuncio, hecho el día de ayer por Europol, dice que las detenciones son el resultado de la operación GoldDust, en la que participaron agentes de 17 países, la Europol, Eurojust y la INTERPOL. Un trabajo colaborativo que ha dado sus frutos y un gran golpe contra las bandas de ransomware más importantes.
Desde 2018, Europol ha estado apoyado una investigación dirigida por Rumanía que tiene como objetivo la familia de GandCrab y en la que han participado autoridades policiales de varios países, incluidos el Reino Unido y los Estados Unidos. Todas estas detenciones se producen tras los esfuerzos conjuntos de las fuerzas del orden internacionales para identificar, intervenir telefónicamente e incautar parte de la infraestructura utilizada por la familia de ransomware Sodinokibi/REvil, que se considera el sucesor de GandCrab.
Estas recientes detenciones demuestran que las fuerzas de seguridad de todo el mundo, que no pueden llegar a los principales operadores de la banda de ransomware, debido a que muchos de ellos viven y realizan sus operaciones en la Federación de Rusia. Sin embargo, sus operaciones de Ransomware-as-a-Service (RaaS) pueden ser fácilmente desbaratadas deteniendo a los afiliados del ransomware ubicados en todo el mundo.
Más Información
https://www.europol.europa.eu/newsroom/news/five-affiliates-to-sodinokibi/revil-unplugged

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence