Después de un par de meses de total inactividad, los servidores en dark web de la peligrosa operación de ransomware REvil han vuelto a activarse, aunque aún no está claro si esto significa el regreso a la acción de este grupo criminal o si esto fue parte del trabajo de las autoridades a cargo de la investigación.
Este grupo, también identificado como Sodinokibi, se había convertido en una de las operaciones de ransomware más importantes en la actualidad. En su último ataque antes del hiato, REvil logró infectar hasta 1,500 implementaciones que utilizaban el software de control remoto Kaseya VSA a través de la explotación de una falla día cero.
En esa ocasión los hackers exigieron un rescate de $50 mil USD por cada cliente afectado, o bien $70 millones USD a cambio de las claves maestras para remover el cifrado de los sistemas infectados, aunque poco después ofrecieron a la compañía bajar sus pretensiones económicas.
Con ataques como este REvil pronto comenzó a llamar la atención de las agencias de la ley en E.U., que comenzaron a implementar severas medidas contra los grupos de ransomware, incluyendo un cambio en la aplicación de la ley contra estas pandillas, que ahora son investigadas como grupos terroristas.
Poco después, el grupo desapareció y todos sus servidores e infraestructura en la red Tor fueron cerrados.
Toda la infraestructura de REvil permaneció inactiva hasta esta mañana, cuando sus sitios web de negociación y exposición de datos, conocidos como Happy Blog, volvieron repentinamente a estar disponibles.
El sitio web de filtración de datos parece operar con normalidad, mientras que la plataforma para la negociación con las víctimas solo aparece en línea sin todas sus funciones habilitadas. Aunque aparece una pantalla de inicio de sesión, nadie puede acceder a la plataforma.
Como se menciona anteriormente, aún no está claro si esto se trata del regreso de una de las pandillas de ransomware más peligrosas de los últimos años o si todo es una falsa alarma. Se espera más información en los próximos días.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad