:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/ZNMZFET2KVBZ5HJNCVJYA32VKE.jpg)
Patrocinan foros de piratería para reclutar afiliados, publicitar esquemas de participación en los beneficios y proporcionar entrevistas sobre sus técnicas.
REvil, el grupo de piratas informáticos vinculado a Rusia que según el FBI es responsable del ciberataque a JBS SA, el mayor productor de carne del mundo, se ha convertido en uno de los grupos de ransomware más prolíficos y públicos de los últimos años.
Los piratas informáticos, también conocidos como Sodinokibi, han estado a la vanguardia del modelo de ciberataques de ransomware como servicio desde que el grupo saltó a la fama como amenaza de seguridad en 2019. En este modelo, los grupos de piratas informáticos proporcionan malware para que otros utilizar en un ataque a cambio de una parte del pago del rescate.
Para reclutar talento, REvil depositó un millón de dólares en Bitcoin como una forma de darles a los afiliados potenciales la tranquilidad de que les pagarían.
“La audacia es parte de su personalidad”, dijo Allan Liska, analista senior de amenazas de la firma de ciberseguridad Recorded Future.
El ransomware se ha convertido en un problema espinoso para la administración Biden, particularmente después de que un ataque el mes pasado contra Colonial Pipeline exprimiera los suministros de combustible a lo largo de la costa este. Otros ataques recientes se han dirigido al departamento de policía en Washington, D.C., una red de hospitales en California y ahora un importante proveedor de carne.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/7JWFWWEFZJHXPOYIIPS7EI7VGI.jpg)
El ransomware es un tipo de pirateo en el que los archivos de la computadora de la víctima están encriptados, dejándolos inutilizables hasta que se pague un rescate. Algunos grupos de ransomware también roban archivos, lo que proporciona otra vía de extorsión. REvil mantiene una página en la página web oscura, llamada “Blog feliz”, donde filtra o subasta documentos confidenciales de las víctimas como un incentivo adicional para presionarlas para que paguen.
Desde 2017, el ransomware ha llegado a dominar otros ciberataques motivados financieramente en volumen y rentabilidad, dijo Kelli Vanderlee, gerente senior de análisis de Mandiant Threat Intelligence, parte de FireEye.
Si bien los ataques no se limitan a un tipo particular de víctima, están disponibles los datos sugieren que afecta de manera desproporcionada al sector manufacturero, dijo Vanderlee. “Es probable que haya varios factores que contribuyen, incluida la percepción de que los fabricantes pueden tener más probabilidades de pagar para evitar pérdidas monetarias por el tiempo de inactividad de la producción”, dijo.
REvil surgió del antiguo grupo GandCrab, un equipo de ransomware como servicio que anunció que cerrarían sus operaciones en 2019, según CrowdStrike Holdings, que confirmó que REvil estaba detrás del ataque de JBS. “Estamos obteniendo una jubilación bien merecida”, escribió GandCrab, según el blog de ciberseguridad KrebsonSecurity. “Somos la prueba viviente de que puedes hacer el mal y salir impune”.
No está claro si los operadores de GandCrab simplemente se rebautizaron con un nuevo nombre, o si los operadores de REvil compraron, o robaron, el código de GandCrab.
De cualquier manera, cuando GandCrab firmó, REvil ya estaba en marcha como un programa de ransomware más exclusivo que también se conocía como “Sodin” o “Sodinokibi”.
En mayo de 2019, un representante del grupo, con el sobrenombre de “Desconocido”, buscó a un pequeño número de socios en foros de piratería para un nuevo programa de ransomware como servicio. “Cinco afiliados más pueden unirse al programa y luego pasaremos desapercibidos”, según KrebsonSecurity. “Cada afiliado tiene garantizados 10 mil dólares. Su recorte es del 60 por ciento al principio y del 70 por ciento después de realizar los tres primeros pagos. Cinco afiliados tienen garantizados 50 mil dólares en total. Llevamos varios años trabajando, concretamente cinco años en este campo. Nos interesan los profesionales “.
“Anuncian compartir ganancias y proporcionan infraestructura y ransomware, negociaciones de rescate y distribución de fondos”, dijo Jon DiMaggio, estratega jefe de seguridad de Analyst1, con sede en Virginia. “Ellos manejan todas las transacciones de Bitcoin y cosas de esa naturaleza”.
Al igual que muchos de los grupos de ransomware más establecidos, REvil investiga objetivos potenciales para asegurarse de que tengan los medios para pagar, incluida la determinación de si las víctimas tienen seguro contra ataques cibernéticos, dijo. Un asociado de REvil dijo en una entrevista que apuntar a empresas con ciberseguro era “uno de los bocados más sabrosos”.
Recorded Future dijo que tiene conocimiento de al menos 237 víctimas de REvil desde 2019.
REvil se atribuyó el mérito de piratear al proveedor de hardware Quanta Computer Inc. a principios de este año, y en el proceso publicó planos secretos para los nuevos dispositivos de Apple. En 2020, REvil ejecutó un ataque de ransomware contra un bufete de abogados que afirmaron que alguna vez representó a algunas de las empresas de televisión de Donald Trump. En 2019, el grupo también atacó a un grupo de secretarios electorales de Luisiana una semana antes del día de las elecciones.
REvil está tan inmerso en el dominio del ransomware que sus miembros intervienen regularmente en las discusiones sobre malware en foros de piratas informáticos, según DiMaggio. También mantienen relaciones directas con otros grupos de ransomware, incluido DarkSide, los piratas informáticos acusados de estar detrás del ataque de mayo a Colonial Pipeline, dijo.
Cuando el sitio de DarkSide cayó después del ataque colonial, REvil alertó a la comunidad de piratas informáticos al respecto, dijo DiMaggio, quien ha estudiado durante mucho tiempo las bandas de ciberdelincuentes rusas. “Están muy involucrados. Son el chico de la clase que siempre tiene que levantar la mano. Son muy vocales en la comunidad”.
DiMaggio y otros analistas han dicho que los piratas informáticos de Revil se comunican en gran medida en ruso y se mantienen alejados de los objetivos que utilizan la escritura cirílica, el sistema para los idiomas de Europa del Este y los estados eslavos. En la entrevista, REvil’s Unknown dijo que el grupo evitó esos países debido a la geopolítica, las leyes y el patriotismo.
El acuerdo también otorga al presidente ruso Vladimir Putin una “negación plausible” contra las acusaciones de la Casa Blanca y otros de que Rusia está involucrada en los ataques.
“Todo el modelo de ransomware encaja en las tácticas que hemos visto en Rusia a lo largo de los años”, dijo DiMaggio.
El atractivo para los piratas informáticos son las grandes ganancias con riesgos mínimos. “Cuando era niño, hurgaba en los montones de basura y fumaba colillas de cigarrillos”, dijo una persona que decía ser el “Desconocido” de REvil en una entrevista de marzo con Recorded Future. “Usé la misma ropa durante seis meses. En mi juventud, en un piso comunal, no comí durante dos o incluso tres días. Ahora soy millonario “.