Después de un breve periodo de actividad reciente, este fin de semana se detectó que el grupo de ransomware REvil podría haber vuelto a cerrar sus operaciones después de que un actor no identificado tomó control de sus plataformas en la red Tor. Los sitios Tor de REvil han permanecido fuera de servicio desde hace horas, además de que los operadores del ransomware confirmaron la situación en un foro de hacking.
El especialista en ciberseguridad Dmitry Smilyanets también reportó el incidente, mencionando que un usuario desconocido secuestró los servicios Tor asociados a REvil, por lo que cree que el responsable podría tener copias de toda la información de esta operación de ransomware bajo su control.
Poco después, un actor de amenazas conocido como 0_neday confirmó que el individuo responsable del ataque pudo acceder a copias de seguridad del servicio onion de REvil. Este individuo también mencionó que no se han encontrado rasgos de ataque en sus servidores, aunque lo mejor por el momento sería cerrar la operación de hacking; además, el hacker pidió a los afiliados de REvil que se pusieran en contacto con los operadores para seguir desplegando sus ataques.
Las plataformas de REvil funcionan como un servicio oculto de Tor, cuyo lanzamiento requiere generar una clave pública y una privada; la clave privada debe estar protegida y se restringe para los administradores de confianza, pues cualquier persona con acceso podría iniciar el servicio onion en su propio servidor.
Debido a que el atacante pudo secuestrar los dominios de REvil, también podría tener acceso a las claves privadas del servicio oculto; el presunto operador del ransomware también cree que el servidor Tor fue comprometido.
Como algunos usuarios recordarán, los hackers de REvil cerraron sus operaciones después de concretar un ataque masivo contra Kaseya, mismo que comenzó a llamar la atención de las autoridades en E.U., por lo que los hackers decidieron que lo mejor sería alejarse de los problemas por un tiempo. REvil permaneció inactivo por un par de meses hasta que hace unas semanas sus plataformas ocultas comenzaron a reactivarse.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
