REvil, una de las bandas de ransomwares más habladas, investigadas y denunciadas a nivel mundial, parece haber desaparecido de nuevo del radar, poco más de un mes después de que el grupo de ciberdelincuentes protagonizara un sorprendente regreso tras una pausa de dos meses de sus ataques.
El hecho, detectado por primera vez por Dmitry Smilyanets de Recorded Future, el cual se produce después de que un miembro afiliado a la operación REvil publicará en el foro de hacking XSS que actores no identificados habían tomado el control del portal de pago Tor de la banda y del sitio web de filtración de datos.
«El servidor estaba comprometido y me buscaban. Para ser precisos, borraron la ruta a mi servicio oculto en el archivo torrc y subieron la suya propia para que yo (sic) fuera allí. He comprobado en otros – esto no era. Buena suerte a todos, me voy«, dijo el usuario 0_neday en el post.
«Pero como hoy a las 17/10 de las 12:00 hora de Moscú, alguien ha sacado a relucir los servicios ocultos de una landing y un blog con las mismas claves que los nuestros, mis temores se han confirmado. El tercero tiene copias de seguridad con claves de servicio de Tor».
En el momento de escribir este port, no está claro quién está detrás de los servidores de REvil, aunque no sería del todo sorprendente que las fuerzas del orden tuvieran algo que ver en la caída de los dominios de la red TOR.
Dado que Bitdefender y las fuerzas de seguridad accedieron a las claves de descifrado de REvil y publicaron un descifrador gratuito, algunos actores de la amenaza creen que el FBI u otras fuerzas de seguridad han tenido acceso a los servidores desde su relanzamiento. Como nadie sabe qué pasó con Unknown, también es posible que el actor de amenaza esté tratando de recuperar el control de la operación.
Después de que REvil realizara un ataque masivo a múltiples empresas a través de una vulnerabilidad zero-day en la plataforma MSP de Kaseya, las operaciones de REvil se cerró repentinamente y su representante público, Unknown, desapareció. Después de que Unknown no regresara, el resto de los operadores de REvil volvieron a poner en marcha sus operaciones y los sitios web en el mes de septiembre utilizando copias de seguridad.
Desde entonces, las operaciones de REvil han estado luchando por reclutar nuevos usuarios, llegando incluso a aumentar las comisiones de los afiliados al 90%.
Cabe una pequeña posibilidad de las operaciones de REvil Ransomware hayan llegado a su final. Sin embargo, nada bueno dura para siempre, en especial cuando se trata de ransomwares, y es probable que más adelante regresen bajo otro nombre, con diferentes afiliados, pero con la misma mentalidad que todas las bandas tienen, el ganar dinero mediante el chantaje masivo.
¿Tú que piensas? 🤔
Más información
https://www.nomoreransom.org/uploads/REvil_documentation.pdf
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
