El grupo de ransomware REvil fue a su vez hackeado y forzado a salir de la red esta semana por una operación multinacional, según tres expertos en cibernética del sector privado que trabajan con Estados Unidos y un ex funcionario.
Antiguos socios y asociados de la banda criminal dirigida por Rusia fueron responsables de un ciberataque en mayo contra el oleoducto Colonial Pipeline que provocó una escasez generalizada de gas en la costa este de Estados Unidos. Entre las víctimas directas de REvil se encuentra la empresa cárnica JBS (JBSS3.SA). El sitio web “Happy Blog” del grupo delictivo, que había sido utilizado para filtrar datos de las víctimas y extorsionar a las empresas, ya no está disponible.
Las autoridades dijeron que el ataque de Colonial utilizó un software de encriptación llamado DarkSide, desarrollado por los asociados de REvil.
El jefe de estrategia de ciberseguridad de VMWare (VMW.N), Tom Kellermann, dijo que las fuerzas del orden y el personal de inteligencia impidieron que el grupo victimizara a más empresas.
“El FBI, junto con el Comando Cibernético, el Servicio Secreto y los países afines, han llevado a cabo verdaderas acciones disruptivas contra estos grupos”, dijo Kellermann, asesor del Servicio Secreto de EE.UU. en materia de investigaciones de ciberdelitos. “REvil era el primero de la lista”.
Una figura de liderazgo conocida como “0_neday”, que había ayudado a reiniciar las operaciones del grupo después de un cierre anterior, dijo que los servidores de REvil habían sido hackeados por una parte no identificada.
“El servidor fue comprometido, y me estaban buscando”, escribió 0_neday en un foro de cibercrimen el pasado fin de semana y fue descubierto por la empresa de seguridad Recorded Future. “Buena suerte a todos; me voy”.
Los intentos del gobierno de Estados Unidos por detener a REvil, una de las peores de las docenas de bandas de ransomware que trabajan con hackers para penetrar y paralizar empresas de todo el mundo, se aceleraron después de que el grupo comprometiera a la empresa estadounidense de gestión de software Kaseya en julio.
El FBI consiguió la clave
Tras el ataque a Kaseya, el FBI obtuvo una clave de descifrado universal que permitía a los infectados a través de Kaseya recuperar sus archivos sin pagar un rescate.
Sin embargo, los agentes de la ley retuvieron inicialmente la clave durante semanas mientras perseguían discretamente al personal de REvil, según reconoció posteriormente el FBI.
Después de que los sitios web que el grupo de hackers utilizaba para llevar a cabo sus actividades se desconectaran en julio, el principal portavoz del grupo, que se hace llamar “Desconocido”, desapareció de Internet.
Cuando el miembro de la banda 0_neday y otros restauraron esos sitios web a partir de una copia de seguridad el mes pasado, reinició sin saberlo algunos sistemas internos que ya estaban controlados por las fuerzas del orden.
“La banda del ransomware REvil restauró la infraestructura a partir de las copias de seguridad bajo el supuesto de que no habían sido comprometidas”, dijo Oleg Skulkin, jefe adjunto del laboratorio forense de la empresa de seguridad rusa Group-IB. “Irónicamente, la propia táctica favorita de la banda de comprometer las copias de seguridad se volvió en su contra”.
Una persona familiarizada con los hechos dijo que un socio extranjero del gobierno de Estados Unidos llevó a cabo la operación de hacking que penetró en la arquitectura informática de REvil. Un antiguo funcionario estadounidense, que habló bajo condición de anonimato, dijo que la operación sigue activa.
El éxito se debe a la determinación de la Vicefiscal General de Estados Unidos, Lisa Monaco, de que los ataques de ransomware a infraestructuras críticas deben tratarse como un asunto de seguridad nacional similar al terrorismo, dijo Kellermann.
En junio, el Vicefiscal General Principal John Carlin dijo a Reuters que el Departamento de Justicia estaba elevando las investigaciones de los ataques de ransomware a una prioridad similar.
Tales acciones dieron al Departamento de Justicia y a otras agencias una base legal para obtener ayuda de las agencias de inteligencia de Estados Unidos y del Departamento de Defensa, dijo Kellermann.
“Antes, no se podía hackear estos foros, y los militares no querían tener nada que ver con ello. Desde entonces, se han quitado los guantes”.
Te puede interesar: Biden declaró que el ataque a Colonial Pipeline fue hecho por hackers rusos
