El día 14 de enero del presente año, El Servicio Federal de Seguridad Federal de Rusia (también conocido como FSB) lanzó una publicación en su página web de que ha realizado un gran operativo y ha cerrado las operaciones de la banda de ransomware, REvil. Las redadas fueron llevadas en 25 viviendas, propiedades pertenecientes a los 14 miembros sospechosos de formar parte del equipo en Moscú, San Petersburgo, Leningrado y las regiones de Lipetsk. Operación que fue llevada a cabo el mes de octubre de 2021.
Tras esta noticia, diferentes especialistas en el mundo de la ciberseguridad llegamos a pensar que oficialmente este sería el final de una de las bandas del cibercrimen organizado más activas y peligrosas de la historia de la informática moderna, pero al parecer, (quizás) estábamos muy equivocados.

Imagen: CronUp Ciberseguridad
Ya a finales de abril, se registró que el sitio web de REvil TOR estaba nuevamente en pie, después de meses de inactividad tras el «operativo» llevado a cabo por el FSB. No está claro de quién podría estar detrás de la nueva operación conectada a la banda, pero el nuevo sitio de filtraciones enumera un gran catálogo de víctimas de ataques pasados de REvil, más dos nuevas, pero en lugar de mostrar los sitios web antiguos, redirigieron a los visitantes a las URL para una nueva operación de ransomware sin un nombre en concreto. Sí bien estos sitios no se parecían en nada a los sitios web anteriores de REvil, el hecho de que la infraestructura antigua se estuviera redirigiendo a los nuevos sitios, indicaría que REvil, probablemente, estaría nuevamente de regreso.
El día 29 de abril del presente año, el investigador de AVAST, Jakub Kroustek, publicó en su cuenta de Twitter algunas capturas e información con respecto a una nueva muestra de Ransomware que pertenecía a REvil, cuya marca de tiempo data del 27 de abril. Lo curioso de todo esto, agrega Kroustek, es que la muestra NO cifra los archivos, sino que, agrega una extensión aleatoria y estaría solicitando este nuevo rescate por la cantidad de 42,691400 BTC (unos 3 millones de dólares aproximadamente).
A few hours ago, we blocked a #ransomware sample in-the-wild that looks like a new #Sodinokibi / #REvil variant. Timestamp 2022-04-27, new config, new mutex, campaign ID, etc. Funny thing… it does not encrypt files; only adds a random extension 🤔 42 BTC https://t.co/UL1ECGLpmg pic.twitter.com/A8p5SLjcZr
— Jakub Kroustek (@JakubKroustek) April 29, 2022
Hasta el momento de realizar esta publicación, el representante original de REvil de cara al público conocido como «Unknown» todavía se encuentra en paradero desconocido. Múltiples investigadores están teorizando que posiblemente un antiguo miembro de REvil Ransomware podría haber re-activado sus operaciones.
Las dudas sobre el regreso a sus actividades aun se encuentran presentes, por ahora, solo nos queda esperar y ver cuales serán los siguientes movimientos de la banda. El conflicto entre Ucrania y Rusia, ha vivado las llamas de los ataques cibernéticos contra todo el mundo, en especial para Ucrania. No sería de sorprender si el Kremlin hayan solicitado la liberación parcial o total de todos sus miembros arrestados el año pasado, en especial de haberse filtrado que la banda de Ransomware, Conti, ha mantenido comunicación de manera frecuente y muy cercana con agencias de Ciberinteligencias Rusas.

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.