REvil ( Ransomware Evil ; también conocido como Sodinokibi ) era una operación privada de ransomware como servicio (RaaS) con sede en Rusia [1] o de habla rusa [2] . [3] Después de un ataque, REvil amenazaría con publicar la información en su página Happy Blog a menos que se recibiera el rescate . En un caso de alto perfil, REvil atacó a un proveedor del gigante tecnológico Apple y robó esquemas confidenciales de sus próximos productos. En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había desmantelado REvil y acusado a varios de sus miembros.
REvil recluta afiliados para distribuirles el ransomware . Como parte de este acuerdo, los afiliados y los desarrolladores de ransomware dividen los ingresos generados por los pagos de rescate. [4] Es difícil determinar su ubicación exacta, pero se cree que tienen su base en Rusia debido al hecho de que el grupo no tiene como objetivo organizaciones rusas ni aquellas en países del antiguo bloque soviético . [5]
El código de ransomware utilizado por REvil se parece al código utilizado por DarkSide , un grupo de piratería diferente; El código de REvil no está disponible públicamente, lo que sugiere que DarkSide es una rama de REvil [6] o un socio de REvil. [7] REvil y DarkSide utilizan notas de rescate estructuradas de manera similar y el mismo código para verificar que la víctima no se encuentre en un país de la Comunidad de Estados Independientes (CEI). [8]
Los expertos en ciberseguridad creen que REvil es una rama de una banda de hackers anterior, notoria pero ahora desaparecida, GandCrab. [9] Esto se sospecha debido al hecho de que REvil se activó por primera vez inmediatamente después del cierre de GandCrab, y que ambos ransomware comparten una cantidad significativa de código.
Como parte de las operaciones de la ciberbanda criminal, son conocidos por robar casi un terabyte de información del bufete de abogados Grubman Shire Meiselas & Sacks y exigir un rescate para no publicarla. [10] [11] [12] El grupo también había intentado extorsionar a otras empresas y figuras públicas.
En mayo de 2020 exigieron 42 millones de dólares al presidente estadounidense Donald Trump . [13] [14] El grupo afirmó haber hecho esto descifrando la criptografía de curva elíptica que la empresa utilizaba para proteger sus datos. [15] Según una entrevista con un presunto miembro, encontraron un comprador para la información de Trump, pero esto no se puede confirmar. [16] En la misma entrevista, el miembro afirmó que recaudarían 100 millones de dólares de rescate en 2020.
El 16 de mayo de 2020, el grupo publicó documentos legales con un tamaño total de 2,4 GB relacionados con la cantante Lady Gaga . [17] Al día siguiente, publicaron 169 correos electrónicos "inofensivos" que se referían a Donald Trump o contenían la palabra "trump". [11]
Estaban planeando vender la información de Madonna , [18] pero finalmente no cumplieron. [19]
El 27 de marzo de 2021, REvil atacó a la Federación Harris y publicó varios documentos financieros de la federación en su blog. Como resultado, los sistemas informáticos de la federación estuvieron cerrados durante algunas semanas, lo que afectó a hasta 37.000 estudiantes. [20]
El 18 de marzo de 2021, un afiliado de REvil afirmó en su sitio de filtración de datos que había descargado datos de la corporación multinacional de hardware y electrónica Acer , además de haber instalado ransomware, que se ha relacionado con la violación de datos de Microsoft Exchange Server de 2021 por parte de la empresa de ciberseguridad Advanced Intel. , que encontró los primeros indicios de que los servidores de Acer estaban siendo atacados a partir del 5 de marzo de 2021. Se exigió un rescate de 50 millones de dólares para descifrar el número no revelado de sistemas y para eliminar los archivos descargados, que aumentará a 100 millones de dólares si no se paga antes del 28 de marzo de 2021. [ 21]
En abril de 2021, REvil robó los planos de los próximos productos Apple de Quanta Computer , incluidos supuestos planes para computadoras portátiles Apple y un Apple Watch. REvil amenazó con hacer públicos los planes a menos que reciban 50 millones de dólares. [22] [23]
El 30 de mayo de 2021, JBS SA fue atacada por ransomware que obligó al cierre temporal de todas las plantas de carne de vacuno de la empresa en EE. UU. e interrumpió las operaciones en las plantas de carne de ave y porcino. Unos días después, la Casa Blanca anunció que REvil puede ser responsable del ciberataque a JBS SA . El FBI confirmó la conexión en una declaración de seguimiento en Twitter . [24] JBS pagó un rescate de 11 millones de dólares en Bitcoin a REvil.
El 11 de junio de 2021, Invenergy informó que había sido atacado por ransomware. Posteriormente, REvil afirmó ser el responsable. [25]
El 2 de julio de 2021, cientos de proveedores de servicios administrados introdujeron el ransomware REvil en sus sistemas a través del software de administración de escritorio Kaseya. [26] REvil exigió 70 millones de dólares para restaurar los datos cifrados . [27] Como consecuencia, la cadena de supermercados Swedish Coop se vio obligada a cerrar 800 tiendas durante varios días. [28] [29]
El 7 de julio de 2021, REvil pirateó las computadoras del contratista de tecnología espacial y de lanzamiento de armas HX5, con sede en Florida , que cuenta con el Ejército , la Armada , la Fuerza Aérea y la NASA entre sus clientes, y publicó públicamente documentos robados en su Happy Blog. El New York Times consideró que los documentos no tenían "consecuencias vitales". [30]
Después de una llamada telefónica del 9 de julio entre el presidente de Estados Unidos, Joe Biden , y el presidente ruso, Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera que una operación de ransomware provenga de su suelo, aunque no esté patrocinada". por parte del estado, esperamos que actúen si les damos suficiente información para determinar quién es". Biden añadió más tarde que Estados Unidos cerraría los servidores del grupo si Putin no lo hacía. [31] [32]
El 13 de julio de 2021, los sitios web de REvil y otra infraestructura desaparecieron de Internet. [33] Politico citó a un alto funcionario administrativo anónimo diciendo que "no sabemos exactamente por qué [REvil] se retiró"; El funcionario tampoco descartó la posibilidad de que Rusia cerrara el grupo o lo obligara a cerrar. [34]
El 23 de julio de 2021, Kaseya anunció que había recibido la clave de descifrado de los archivos cifrados en el ataque de ransomware Kaseya VSA del 2 de julio de un "tercero de confianza" anónimo, que luego se descubrió que era el FBI que había retenido la clave durante tres semanas, y estaba ayudando a las víctimas a restaurar sus archivos. [35] La clave se retuvo para evitar alertar a REvil sobre un esfuerzo del FBI para desactivar sus servidores, lo que finalmente resultó innecesario después de que los piratas informáticos se desconectaron sin intervención. [36]
En septiembre de 2021, la empresa rumana de ciberseguridad Bitdefender publicó una utilidad de descifrado universal gratuita para ayudar a las víctimas del ransomware REvil/Sodinokibi a recuperar sus archivos cifrados, si fueron cifrados antes del 13 de julio de 2021. [37] Desde septiembre hasta principios de noviembre, el descifrador fue utilizado por más de 1.400 empresas para evitar pagar más de 550 millones de dólares en rescate y permitirles recuperar sus archivos. [38]
El 22 de septiembre de 2021, los investigadores de malware identificaron una puerta trasera integrada en el malware REvil que permitía a los miembros originales de la pandilla realizar conversaciones dobles y engañar a sus afiliados para evitar cualquier pago de ransomware. [39] Los afiliados de ransomware que fueron engañados supuestamente publicaron sus reclamos en un "Tribunal de Hackers", socavando la confianza en REvil por parte de los afiliados. Según se informa, a las versiones más nuevas del malware REvil se les eliminó la puerta trasera. [40]
El 21 de octubre de 2021, los servidores de REvil fueron pirateados en una operación en varios países y obligados a desconectarse. El jefe de estrategia de ciberseguridad de VMWare dijo: "El FBI, junto con Cyber Command , el Servicio Secreto y países con ideas afines, realmente han participado en importantes acciones disruptivas contra estos grupos". Un miembro de la pandilla REvil intentó restaurar sus servidores desde copias de seguridad que también habían sido comprometidas [41] .
Como parte de la Operación GoldDust en la que participaron 17 países, Europol , Eurojust e INTERPOL , las autoridades policiales arrestaron a cinco personas vinculadas a Sodinokibi/REvil y dos sospechosos relacionados con el ransomware GandCrab. Supuestamente son responsables de 5.000 infecciones y recaudaron medio millón de euros en pagos de ransomware. [42]
El 8 de noviembre de 2021, el Departamento de Justicia de Estados Unidos abrió acusaciones contra el ciudadano ucraniano Yaroslav Vasinskyi y el ciudadano ruso Yevgeniy Polyanin. Vasinskyi fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluida Kaseya, y fue arrestado en Polonia el 8 de octubre. Polyanin fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluidas empresas y entidades gubernamentales de Texas. El Departamento trabajó con la Policía Nacional de Ucrania para formular los cargos y también anunció la incautación de 6,1 millones de dólares vinculados a pagos de ransomware. Si es declarado culpable de todos los cargos, Vasinskyi enfrenta una pena máxima de 115 años de prisión, y Polyanin, 145 años de prisión. [43]
En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había desmantelado REvil y acusó a varios de sus miembros después de que Estados Unidos les proporcionara información. [44]
Hay un grupo de hackers llamado Fluffy con sede en Corrèze, conocido por tener una afiliación con REvil, que utiliza principalmente typosquatting , cybersquatting y relleno de palabras clave . Este grupo de piratas informáticos ha distribuido el ransomware Magniber, Sodinokibi, y GandCrab, BlueCrab (es la próxima versión de GandCrab, es la misma variante que se utilizó en el ataque del ransomware Kaseya VSA [45] ). En Francia, se le conoce como Fluffy, [46] en Alemania como Talentfrei, [47] en Australia y países de habla inglesa como "Emma Hill", [48] y en Corea del Sur como Nebomi (que significa "flor de las cuatro estaciones" en coreano). ). Se sabe que Fluffy se ha cobrado varias víctimas, especialmente en Corea del Sur. [49] [50]
La campaña en la que Fluffy apuntó por primera vez a Corea del Sur se conoce como Magniber, [51] y utilizó un kit de explotación antes de que aparecieran varias cargas útiles modificadas . Las técnicas empleadas por estas cargas útiles modificadas varían, pero comparten algo en común al utilizar tecnologías estandarizadas respaldadas por navegadores web o sistemas operativos, como el esquema URI y BASE64 , a diferencia de los kits de exploits que aprovechan las vulnerabilidades de día cero . Los usuarios reciben advertencias de seguridad de sus sistemas operativos antes de ejecutar los archivos; sin embargo, la información proporcionada por los atacantes suele ser suficiente para que los usuarios decidan ignorar las alertas de seguridad.
Tras la introducción de estas cargas útiles alteradas en Corea del Sur, Fluffy inmediatamente se refirió a sí mismo como Nebomi y continuó con los ataques de ransomware. La Fiscalía del Distrito Central de Seúl anunció en noviembre de 2023 que los cómplices que los ayudaron en Corea del Sur fueron procesados. Según el anuncio, durante el proceso de investigación de los sospechosos, también se descubrieron registros de fondos transferidos al Grupo Lazarus . [52] No está claro si está relacionado con la investigación de ransomware en curso, pero según un informe de los medios de diciembre de 2023, la Corte Suprema de Corea afirmó que experimentó un ciberataque por parte del Grupo Lazarus, que resultó en la filtración de datos confidenciales. [53]
Se presume que Fluffy ayuda en la distribución de varios tipos de ransomware, desde Magniber y REvil hasta LockBit , aprovechando casos exitosos de ataques de abrevadero que han ejecutado. Por ejemplo, se cree que pueden estar implicados en incidentes como el exitoso ciberataque a la sucursal francesa de Toshiba en mayo de 2021, el supuesto ciberataque al Grupo Doosan en agosto de 2022 y el supuesto ciberataque al Impuesto Nacional. Servicio (Corea del Sur) en marzo de 2023. [54]
En ocasiones, emplearon métodos relativamente simples, como correos electrónicos, para la distribución del ransomware REvil (también conocido como GandCrab). El contenido de estos correos electrónicos normalmente implicaba hacerse pasar por agencias encargadas de hacer cumplir la ley. Los remitentes de estos correos electrónicos eran dos personas menores de 19 años, que afirmaron haber cometido tales delitos en respuesta a una propuesta que decía: "Si te unes al envío de ransomware, compartiremos las ganancias". En el juicio celebrado en el Tribunal del Distrito Central de Seúl en agosto de 2021, fueron condenados a 2 años y 1 año y 6 meses de prisión. Uno de ellos ya había recibido una pena de 10 años de prisión por participar en otra campaña.