Blog

REvil Ransomware finaliza sus operaciones ¿Para siempre?

REvil, una de las bandas de ransomwares más habladas, investigadas y denunciadas a nivel mundial, parece haber desaparecido de nuevo del radar, poco más de un mes después de que el grupo de ciberdelincuentes protagonizara un sorprendente regreso tras una pausa de dos meses de sus ataques.

El hecho, detectado por primera vez por Dmitry Smilyanets de Recorded Future, el cual se produce después de que un miembro afiliado a la operación REvil publicará en el foro de hacking XSS que actores no identificados habían tomado el control del portal de pago Tor de la banda y del sitio web de filtración de datos.

«El servidor estaba comprometido y me buscaban. Para ser precisos, borraron la ruta a mi servicio oculto en el archivo torrc y subieron la suya propia para que yo (sic) fuera allí. He comprobado en otros – esto no era. Buena suerte a todos, me voy«, dijo el usuario 0_neday en el post.

«Pero como hoy a las 17/10 de las 12:00 hora de Moscú, alguien ha sacado a relucir los servicios ocultos de una landing y un blog con las mismas claves que los nuestros, mis temores se han confirmado. El tercero tiene copias de seguridad con claves de servicio de Tor».

En el momento de escribir este port, no está claro quién está detrás de los servidores de REvil, aunque no sería del todo sorprendente que las fuerzas del orden tuvieran algo que ver en la caída de los dominios de la red TOR.

Dado que Bitdefender y las fuerzas de seguridad accedieron a las claves de descifrado de REvil y publicaron un descifrador gratuito, algunos actores de la amenaza creen que el FBI u otras fuerzas de seguridad han tenido acceso a los servidores desde su relanzamiento. Como nadie sabe qué pasó con Unknown, también es posible que el actor de amenaza esté tratando de recuperar el control de la operación.

Después de que REvil realizara un ataque masivo a múltiples empresas a través de una vulnerabilidad zero-day en la plataforma MSP de Kaseya, las operaciones de REvil se cerró repentinamente y su representante público, Unknown, desapareció. Después de que Unknown no regresara, el resto de los operadores de REvil volvieron a poner en marcha sus operaciones y los sitios web en el mes de septiembre utilizando copias de seguridad.

Desde entonces, las operaciones de REvil han estado luchando por reclutar nuevos usuarios, llegando incluso a aumentar las comisiones de los afiliados al 90%.

Cabe una pequeña posibilidad de las operaciones de REvil Ransomware hayan llegado a su final. Sin embargo, nada bueno dura para siempre, en especial cuando se trata de ransomwares, y es probable que más adelante regresen bajo otro nombre, con diferentes afiliados, pero con la misma mentalidad que todas las bandas tienen, el ganar dinero mediante el chantaje masivo.

¿Tú que piensas? 🤔

Más información

https://www.nomoreransom.org/uploads/REvil_documentation.pdf

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad