Blog

¿La banda de cibercriminales REvil Ransomware está nuevamente de regreso?

El día 14 de enero del presente año, El Servicio Federal de Seguridad Federal de Rusia (también conocido como FSB) lanzó una publicación en su página web de que ha realizado un gran operativo y ha cerrado las operaciones de la banda de ransomware, REvil. Las redadas fueron llevadas en 25 viviendas, propiedades pertenecientes a los 14 miembros sospechosos de formar parte del equipo en Moscú, San Petersburgo, Leningrado y las regiones de Lipetsk. Operación que fue llevada a cabo el mes de octubre de 2021.

Tras esta noticia, diferentes especialistas en el mundo de la ciberseguridad llegamos a pensar que oficialmente este sería el final de una de las bandas del cibercrimen organizado más activas y peligrosas de la historia de la informática moderna, pero al parecer, (quizás) estábamos muy equivocados.

Captura de pantalla del supuesto nuevo sitio de REvil/Sodinokibi Ransomware
Imagen: CronUp Ciberseguridad

Ya a finales de abril, se registró que el sitio web de REvil TOR estaba nuevamente en pie, después de meses de inactividad tras el «operativo» llevado a cabo por el FSB. No está claro de quién podría estar detrás de la nueva operación conectada a la banda, pero el nuevo sitio de filtraciones enumera un gran catálogo de víctimas de ataques pasados de REvil, más dos nuevas, pero en lugar de mostrar los sitios web antiguos, redirigieron a los visitantes a las URL para una nueva operación de ransomware sin un nombre en concreto. Sí bien estos sitios no se parecían en nada a los sitios web anteriores de REvil, el hecho de que la infraestructura antigua se estuviera redirigiendo a los nuevos sitios, indicaría que REvil, probablemente, estaría nuevamente de regreso.

El día 29 de abril del presente año, el investigador de AVAST, Jakub Kroustek, publicó en su cuenta de Twitter algunas capturas e información con respecto a una nueva muestra de Ransomware que pertenecía a REvil, cuya marca de tiempo data del 27 de abril. Lo curioso de todo esto, agrega Kroustek, es que la muestra NO cifra los archivos, sino que, agrega una extensión aleatoria y estaría solicitando este nuevo rescate por la cantidad de 42,691400 BTC (unos 3 millones de dólares aproximadamente).

Hasta el momento de realizar esta publicación, el representante original de REvil de cara al público conocido como «Unknown» todavía se encuentra en paradero desconocido. Múltiples investigadores están teorizando que posiblemente un antiguo miembro de REvil Ransomware podría haber re-activado sus operaciones.

Las dudas sobre el regreso a sus actividades aun se encuentran presentes, por ahora, solo nos queda esperar y ver cuales serán los siguientes movimientos de la banda. El conflicto entre Ucrania y Rusia, ha vivado las llamas de los ataques cibernéticos contra todo el mundo, en especial para Ucrania. No sería de sorprender si el Kremlin hayan solicitado la liberación parcial o total de todos sus miembros arrestados el año pasado, en especial de haberse filtrado que la banda de Ransomware, Conti, ha mantenido comunicación de manera frecuente y muy cercana con agencias de Ciberinteligencias Rusas.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad