REVOLVER

Organización criminal de piratería

REvil ( Ransomware Evil ; también conocido como Sodinokibi ) era una operación privada de ransomware como servicio (RaaS) con sede en Rusia ^[1] o de habla rusa ^{[2] . [3]} Después de un ataque, REvil amenazaría con publicar la información en su página Happy Blog a menos que se recibiera el rescate . En un caso de alto perfil, REvil atacó a un proveedor del gigante tecnológico Apple y robó esquemas confidenciales de sus próximos productos. En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había desmantelado REvil y acusado a varios de sus miembros.

Historia

REvil recluta afiliados para distribuirles el ransomware . Como parte de este acuerdo, los afiliados y los desarrolladores de ransomware dividen los ingresos generados por los pagos de rescate. ^[4] Es difícil determinar su ubicación exacta, pero se cree que tienen su base en Rusia debido al hecho de que el grupo no tiene como objetivo organizaciones rusas ni aquellas en países del antiguo bloque soviético . ^[5]

El código de ransomware utilizado por REvil se parece al código utilizado por DarkSide , un grupo de piratería diferente; El código de REvil no está disponible públicamente, lo que sugiere que DarkSide es una rama de REvil ^[6] o un socio de REvil. ^[7] REvil y DarkSide utilizan notas de rescate estructuradas de manera similar y el mismo código para verificar que la víctima no se encuentre en un país de la Comunidad de Estados Independientes (CEI). ^[8]

Los expertos en ciberseguridad creen que REvil es una rama de una banda de hackers anterior, notoria pero ahora desaparecida, GandCrab. ^[9] Esto se sospecha debido al hecho de que REvil se activó por primera vez inmediatamente después del cierre de GandCrab, y que ambos ransomware comparten una cantidad significativa de código.

2020

Puede

Como parte de las operaciones de la ciberbanda criminal, son conocidos por robar casi un terabyte de información del bufete de abogados Grubman Shire Meiselas & Sacks y exigir un rescate para no publicarla. ^{[10] [11] [12]} El grupo también había intentado extorsionar a otras empresas y figuras públicas.

En mayo de 2020 exigieron 42 millones de dólares al presidente estadounidense Donald Trump . ^{[13] [14]} El grupo afirmó haber hecho esto descifrando la criptografía de curva elíptica que la empresa utilizaba para proteger sus datos. ^[15] Según una entrevista con un presunto miembro, encontraron un comprador para la información de Trump, pero esto no se puede confirmar. ^[16] En la misma entrevista, el miembro afirmó que recaudarían 100 millones de dólares de rescate en 2020.

El 16 de mayo de 2020, el grupo publicó documentos legales con un tamaño total de 2,4 GB relacionados con la cantante Lady Gaga . ^[17] Al día siguiente, publicaron 169 correos electrónicos "inofensivos" que se referían a Donald Trump o contenían la palabra "trump". ^[11]

Estaban planeando vender la información de Madonna , ^[18] pero finalmente no cumplieron. ^[19]

2021

Marzo

El 27 de marzo de 2021, REvil atacó a la Federación Harris y publicó varios documentos financieros de la federación en su blog. Como resultado, los sistemas informáticos de la federación estuvieron cerrados durante algunas semanas, lo que afectó a hasta 37.000 estudiantes. ^[20]

El 18 de marzo de 2021, un afiliado de REvil afirmó en su sitio de filtración de datos que había descargado datos de la corporación multinacional de hardware y electrónica Acer , además de haber instalado ransomware, que se ha relacionado con la violación de datos de Microsoft Exchange Server de 2021 por parte de la empresa de ciberseguridad Advanced Intel. , que encontró los primeros indicios de que los servidores de Acer estaban siendo atacados a partir del 5 de marzo de 2021. Se exigió un rescate de 50 millones de dólares para descifrar el número no revelado de sistemas y para eliminar los archivos descargados, que aumentará a 100 millones de dólares si no se paga antes del 28 de marzo de 2021. ^[21 ]

Abril

En abril de 2021, REvil robó los planos de los próximos productos Apple de Quanta Computer , incluidos supuestos planes para computadoras portátiles Apple y un Apple Watch. REvil amenazó con hacer públicos los planes a menos que reciban 50 millones de dólares. ^{[22] [23]}

Puede

El 30 de mayo de 2021, JBS SA fue atacada por ransomware que obligó al cierre temporal de todas las plantas de carne de vacuno de la empresa en EE. UU. e interrumpió las operaciones en las plantas de carne de ave y porcino. Unos días después, la Casa Blanca anunció que REvil puede ser responsable del ciberataque a JBS SA . El FBI confirmó la conexión en una declaración de seguimiento en Twitter . ^[24] JBS pagó un rescate de 11 millones de dólares en Bitcoin a REvil.

Junio

El 11 de junio de 2021, Invenergy informó que había sido atacado por ransomware. Posteriormente, REvil afirmó ser el responsable. ^[25]

Julio

El 2 de julio de 2021, cientos de proveedores de servicios administrados introdujeron el ransomware REvil en sus sistemas a través del software de administración de escritorio Kaseya. ^[26] REvil exigió 70 millones de dólares para restaurar los datos cifrados . ^[27] Como consecuencia, la cadena de supermercados Swedish Coop se vio obligada a cerrar 800 tiendas durante varios días. ^{[28] [29]}

El 7 de julio de 2021, REvil pirateó las computadoras del contratista de tecnología espacial y de lanzamiento de armas HX5, con sede en Florida , que cuenta con el Ejército , la Armada , la Fuerza Aérea y la NASA entre sus clientes, y publicó públicamente documentos robados en su Happy Blog. El New York Times consideró que los documentos no tenían "consecuencias vitales". ^[30]

Después de una llamada telefónica del 9 de julio entre el presidente de Estados Unidos, Joe Biden , y el presidente ruso, Vladimir Putin , Biden dijo a la prensa: "Le dejé muy claro que Estados Unidos espera que una operación de ransomware provenga de su suelo, aunque no esté patrocinada". por parte del estado, esperamos que actúen si les damos suficiente información para determinar quién es". Biden añadió más tarde que Estados Unidos cerraría los servidores del grupo si Putin no lo hacía. ^{[31] [32]}

El 13 de julio de 2021, los sitios web de REvil y otra infraestructura desaparecieron de Internet. ^[33] Politico citó a un alto funcionario administrativo anónimo diciendo que "no sabemos exactamente por qué [REvil] se retiró"; El funcionario tampoco descartó la posibilidad de que Rusia cerrara el grupo o lo obligara a cerrar. ^[34]

El 23 de julio de 2021, Kaseya anunció que había recibido la clave de descifrado de los archivos cifrados en el ataque de ransomware Kaseya VSA del 2 de julio de un "tercero de confianza" anónimo, que luego se descubrió que era el FBI que había retenido la clave durante tres semanas, y estaba ayudando a las víctimas a restaurar sus archivos. ^[35] La clave se retuvo para evitar alertar a REvil sobre un esfuerzo del FBI para desactivar sus servidores, lo que finalmente resultó innecesario después de que los piratas informáticos se desconectaron sin intervención. ^[36]

Septiembre

En septiembre de 2021, la empresa rumana de ciberseguridad Bitdefender publicó una utilidad de descifrado universal gratuita para ayudar a las víctimas del ransomware REvil/Sodinokibi a recuperar sus archivos cifrados, si fueron cifrados antes del 13 de julio de 2021. ^[37] Desde septiembre hasta principios de noviembre, el descifrador fue utilizado por más de 1.400 empresas para evitar pagar más de 550 millones de dólares en rescate y permitirles recuperar sus archivos. ^[38]

El 22 de septiembre de 2021, los investigadores de malware identificaron una puerta trasera integrada en el malware REvil que permitía a los miembros originales de la pandilla realizar conversaciones dobles y engañar a sus afiliados para evitar cualquier pago de ransomware. ^[39] Los afiliados de ransomware que fueron engañados supuestamente publicaron sus reclamos en un "Tribunal de Hackers", socavando la confianza en REvil por parte de los afiliados. Según se informa, a las versiones más nuevas del malware REvil se les eliminó la puerta trasera. ^[40]

Octubre

El 21 de octubre de 2021, los servidores de REvil fueron pirateados en una operación en varios países y obligados a desconectarse. El jefe de estrategia de ciberseguridad de VMWare dijo: "El FBI, junto con Cyber ​​Command , el Servicio Secreto y países con ideas afines, realmente han participado en importantes acciones disruptivas contra estos grupos". Un miembro de la pandilla REvil intentó restaurar sus servidores desde copias de seguridad que también habían sido comprometidas ^[41]

Investigaciones y acusaciones penales.

Como parte de la Operación GoldDust en la que participaron 17 países, Europol , Eurojust e INTERPOL , las autoridades policiales arrestaron a cinco personas vinculadas a Sodinokibi/REvil y dos sospechosos relacionados con el ransomware GandCrab. Supuestamente son responsables de 5.000 infecciones y recaudaron medio millón de euros en pagos de ransomware. ^[42]

El 8 de noviembre de 2021, el Departamento de Justicia de Estados Unidos abrió acusaciones contra el ciudadano ucraniano Yaroslav Vasinskyi y el ciudadano ruso Yevgeniy Polyanin. Vasinskyi fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluida Kaseya, y fue arrestado en Polonia el 8 de octubre. Polyanin fue acusado de realizar ataques de ransomware contra múltiples víctimas, incluidas empresas y entidades gubernamentales de Texas. El Departamento trabajó con la Policía Nacional de Ucrania para formular los cargos y también anunció la incautación de 6,1 millones de dólares vinculados a pagos de ransomware. Si es declarado culpable de todos los cargos, Vasinskyi se enfrenta a una pena máxima de 115 años de prisión, y Polyanin, a 145 años de prisión. ^[43]

En enero de 2022, el Servicio Federal de Seguridad de Rusia dijo que había desmantelado REvil y acusó a varios de sus miembros después de que Estados Unidos les proporcionara información. ^[44]

el esponjoso

Hay un grupo de hackers llamado Fluffy con sede en Corrèze, conocido por tener una afiliación con REvil, que utiliza principalmente typosquatting , cybersquatting y relleno de palabras clave . Este grupo de piratas informáticos ha distribuido el ransomware Magniber, Sodinokibi, y GandCrab, BlueCrab (es la próxima versión de GandCrab, es la misma variante que se utilizó en el ataque del ransomware Kaseya VSA ^[45] ). En Francia, se le conoce como Fluffy, ^[46] en Alemania como Talentfrei, ^[47] en Australia y países de habla inglesa como "Emma Hill", ^[48] y en Corea del Sur como Nebomi (que significa "Flor de las cuatro estaciones" en coreano). ). Se sabe que Fluffy se ha cobrado varias víctimas, especialmente en Corea del Sur. ^{[49] [50]}

La campaña en la que Fluffy apuntó por primera vez a Corea del Sur se conoce como Magniber, ^[51] y utilizó un kit de explotación antes de que aparecieran varias cargas útiles modificadas . Las técnicas empleadas por estas cargas útiles modificadas varían, pero comparten algo en común al utilizar tecnologías estandarizadas respaldadas por navegadores web o sistemas operativos, como el esquema URI y BASE64 , a diferencia de los kits de exploits que aprovechan las vulnerabilidades de día cero . Los usuarios reciben advertencias de seguridad de sus sistemas operativos antes de ejecutar los archivos; sin embargo, la información proporcionada por los atacantes suele ser suficiente para que los usuarios decidan ignorar las alertas de seguridad.

Tras la introducción de estas cargas útiles alteradas en Corea del Sur, Fluffy inmediatamente se refirió a sí mismo como Nebomi y continuó con los ataques de ransomware. La Fiscalía del Distrito Central de Seúl anunció en noviembre de 2023 que los cómplices que les ayudaron en Corea del Sur fueron procesados. Según el anuncio, durante el proceso de investigación de los sospechosos, también se descubrieron registros de fondos transferidos al Grupo Lazarus . ^[52] No está claro si está relacionado con la investigación de ransomware en curso, pero según un informe de los medios de comunicación de diciembre de 2023, la Corte Suprema de Corea afirmó que experimentó un ciberataque por parte del Grupo Lazarus, que resultó en la filtración de datos confidenciales. ^[53]

Se presume que Fluffy ayuda en la distribución de varios tipos de ransomware, desde Magniber y REvil hasta Lockbit , aprovechando casos exitosos de ataques de abrevadero que han ejecutado. Por ejemplo, se cree que pueden estar implicados en incidentes como el exitoso ciberataque a la sucursal francesa de Toshiba en mayo de 2021, el supuesto ciberataque al Grupo Doosan en agosto de 2022 y el supuesto ciberataque al Impuesto Nacional. Servicio (Corea del Sur) en marzo de 2023. ^[54]

En ocasiones, emplearon métodos relativamente simples, como correos electrónicos, para la distribución del ransomware REvil (también conocido como GandCrab). El contenido de estos correos electrónicos normalmente implicaba hacerse pasar por agencias encargadas de hacer cumplir la ley. Los remitentes de estos correos electrónicos eran dos personas menores de 19 años, que afirmaron haber cometido tales delitos en respuesta a una propuesta que decía: "Si te unes al envío de ransomware, compartiremos las ganancias". En el juicio celebrado en el Tribunal del Distrito Central de Seúl en agosto de 2021, fueron condenados a 2 años y 1 año y 6 meses de prisión. Uno de ellos ya había recibido una condena de 10 años de prisión por participar en otra campaña.

Referencias

1. Bowden, John (13 de julio de 2021). "El grupo de ransomware con sede en Rusia 'REvil' desaparece después de afectar a las empresas estadounidenses". El independiente . Archivado desde el original el 13 de agosto de 2021.
2. Collier, Kevin (13 de julio de 2021). "Una prolífica banda de ransomware desaparece repentinamente de Internet. El momento es digno de mención". Noticias NBC . Archivado desde el original el 12 de noviembre de 2021.
3. Fokker, John (2 de octubre de 2019). "McAfee ATR analiza Sodinokibi, también conocido como REvil Ransomware-as-a-Service: las estrellas". Blogs de McAfee . Archivado desde el original el 11 de noviembre de 2021 . Consultado el 7 de octubre de 2020 .
4. Abrams, Lorenzo. "Sodinokibi Ransomware: siguiendo el rastro del dinero de los afiliados". Computadora que suena . Archivado desde el original el 5 de julio de 2021 . Consultado el 7 de octubre de 2020 .
5. Saarinen, Juha (29 de enero de 2020). "No hay que ceder en los ataques de ransomware como servicio de REvil". es noticia .
6. SangerPerlroth>David E. Sanger y Nicole Perlroth, El FBI identifica el grupo detrás del hackeo del oleoducto, New York Times (10 de mayo de 2021).
7. Charlie Osborne, investigadores rastrean cinco afiliados del servicio de ransomware DarkSide, ZDNet (12 de mayo de 2021).
8. Lo que sabemos sobre el ransomware DarkSide y el ataque al oleoducto de EE. UU., Trend Micro Research (14 de mayo de 2021).
9. Vijayan, Jai (25 de septiembre de 2019). "Desarrolladores de GandCrab detrás del destructivo REvil Ransomware". OSCUROLectura .
10. Cimpanu, Catalín. "Una banda de ransomware pide 42 millones de dólares a un bufete de abogados de Nueva York y amenaza con filtrar información sobre Trump". ZDNet . Consultado el 17 de mayo de 2020 .
11. Winder, Davey. "Los piratas informáticos publican los primeros 169 correos electrónicos de Trump sobre 'trapos sucios' después de ser tildados de ciberterroristas". Forbes . Consultado el 17 de mayo de 2020 .
12. Sykes, Tom (15 de mayo de 2020). "'Los piratas informáticos REviles duplican su demanda de rescate de Allen Grubman a 42 millones de dólares y amenazan con deshacerse de la suciedad de Donald Trump ". La bestia diaria . Consultado el 17 de mayo de 2020 .
13. "El grupo criminal que pirateó el bufete de abogados amenaza con publicar documentos de Trump". Noticias NBC . Consultado el 17 de mayo de 2020 .
14. Adler, Dan (15 de mayo de 2020). "¿Qué tienen estos piratas informáticos sobre Trump y por qué Allen Grubman pagaría para reprimirlo?". Feria de la vanidad . Consultado el 17 de mayo de 2020 .
15. "Forbes". Forbes .
16. Focas, Tara (29 de octubre de 2020). "REvil Gang promete un gran éxito en los videojuegos; Maze Gang cierra". puesto de amenaza .
17. Aturdido (16 de mayo de 2020). "Los piratas informáticos han filtrado los documentos legales de Lady Gaga". Aturdido . Consultado el 17 de mayo de 2020 .
18. Coble, Sarah (19 de mayo de 2020). "REvil subastará datos robados de Madonna". Revista Infoseguridad . Consultado el 17 de julio de 2020 .
19. Coble, Sarah (23 de septiembre de 2020). "Los ladrones no subastan los documentos legales de Bruce Springsteen". Revista Infoseguridad . Consultado el 10 de diciembre de 2020 .
20. "La evidencia sugiere que REvil está detrás del ataque de ransomware de Harris Federation". TI PRO . Consultado el 30 de abril de 2021 .
21. Abrams, Lawrence (19 de marzo de 2021). "El gigante informático Acer sufre un ataque de ransomware de 50 millones de dólares". Computadora que suena . Consultado el 20 de marzo de 2021 .
22. "Los piratas informáticos de ransomware roban planes para los próximos productos de Apple". el guardián . 2021-04-22 . Consultado el 22 de abril de 2021 .
23. "Una notoria banda de ransomware afirma haber robado diseños de productos de Apple". Gizmodo . 20 de abril de 2021 . Consultado el 22 de abril de 2021 .
24. "Declaración del FBI sobre el ciberataque de JBS". Gorjeo . 2021-06-02 . Consultado el 3 de junio de 2021 .
25. "El grupo de hackers REvil se atribuye la responsabilidad de la violación de datos de Invenergy". revista pv Estados Unidos . 14 de junio de 2021.
26. "Aviso importante 2 de julio de 2021: Kaseya". 3 de julio de 2021. Archivado desde el original el 3 de julio de 2021.
27. Satter, Rafael (5 de julio de 2021). "Hasta 1.500 empresas afectadas por un ataque de ransomware, dice el director ejecutivo de una empresa estadounidense". Reuters . Archivado desde el original el 24 de noviembre de 2021 . Consultado el 5 de julio de 2021 .
28. Ahlander, Johan; Menn, José (3 de julio de 2021). "Un importante ataque de ransomware contra un proveedor de tecnología estadounidense obliga al cierre de tiendas suecas". Reuters . Archivado desde el original el 25 de octubre de 2021 . Consultado el 5 de julio de 2021 .
29. Lily Hay Newman (4 de julio de 2021). "Cómo REvil Ransomware acabó con miles de negocios a la vez". Cableado . Archivado desde el original el 10 de noviembre de 2021 . Consultado el 3 de diciembre de 2021 .
30. Sanger, David E.; Perlroth, Nicole (7 de julio de 2021). "Biden sopesa una respuesta a los ataques de ransomware". Los New York Times . Consultado el 8 de julio de 2021 .
31. Molinero, Zeke; Tucker, Eric (9 de julio de 2021). "Biden le dice a Putin que Rusia debe tomar medidas enérgicas contra los ciberdelincuentes". Associated Press . Archivado desde el original el 11 de noviembre de 2021.
32. Sanger, David E. (13 de julio de 2021). "El grupo de ransomware más agresivo de Rusia desapareció. No está claro quién lo desactivó". Los New York Times .
33. Fungo, Brian; Cohen, Zacarías; Sands, Ginebra (13 de julio de 2021). "La banda de ransomware que atacó al proveedor de carne desaparece misteriosamente de Internet". Negocios CNN . Archivado desde el original el 27 de septiembre de 2021.
34. Toosi, Nahal (20 de julio de 2021). "Funcionario de Biden: 'No sabemos exactamente por qué' la banda de ransomware desapareció de la web". POLITICO . Consultado el 21 de julio de 2021 .
35. "Clave de ransomware para desbloquear datos de clientes del ataque REvil". Noticias de la BBC . BBC . 23 de julio de 2021 . Consultado el 23 de julio de 2021 .
36. Elena Nakishima; Rachel Lerman (21 de septiembre de 2021). "El FBI retuvo la clave de descifrado de ransomware de las empresas para ejecutar operaciones dirigidas a los piratas informáticos". El Washington Post .
37. "Bitdefender ofrece un descifrador universal gratuito para REvil/Sodinokibi Ransomware". Bitdefender . 16 de septiembre de 2021. Archivado desde el original el 26 de noviembre de 2021 . Consultado el 3 de diciembre de 2021 .
38. Botezatu, Bogdan (8 de noviembre de 2021). "Bitdefender y la asociación de aplicación de la ley ahorran a las víctimas REvil 500 millones en demanda de rescate". Bitdefender . Archivado desde el original el 11 de noviembre de 2021 . Consultado el 3 de diciembre de 2021 .
39. Vaas, Lisa (22 de septiembre de 2021). "Cómo REvil pudo haber estafado a sus propios afiliados". ThreatPost.com . Archivado desde el original el 5 de octubre de 2021 . Consultado el 3 de diciembre de 2021 .
40. Vaas, Lisa (23 de septiembre de 2021). "Los afiliados de REvil confirman: los líderes estaban engañando a los idiotas". ThreatPost.com . Archivado desde el original el 8 de octubre de 2021 . Consultado el 3 de diciembre de 2021 .
41. Menn, José; Bing, Christopher (21 de octubre de 2021). "EXCLUSIVO Los gobiernos le dan la vuelta a la banda de ransomware REvil al desconectarla". Reuters . Archivado desde el original el 1 de diciembre de 2021 . Consultado el 3 de diciembre de 2021 .
42. "CINCO AFILIADOS A SODINOKIBI/REVIL UNPLUGGED". Europol . 8 de noviembre de 2021. Archivado desde el original el 12 de noviembre de 2021 . Consultado el 12 de noviembre de 2021 .
43. "Ucraniano arrestado y acusado de ataque de ransomware a Kaseya". Departamento de Justicia de Estados Unidos . 8 de noviembre de 2021. Archivado desde el original el 11 de noviembre de 2021 . Consultado el 12 de noviembre de 2021 .
44. "Banda de ransomware REvil arrestada en Rusia". Noticias de la BBC . 2022-01-14 . Consultado el 14 de enero de 2022 .
45. "AhnLab, ransomware dirigido a la cadena de suministro de Kaseya, identificado 'BlueCrab'". inews24 (en coreano). 2021-07-11.
46. ""Gootloader "amplía sus opciones de entrega de carga útil". Noticias de Sophos . 2021-03-01.
47. "Usuarios alemanes atacados por Gootkit banker o REvil ransomware". Laboratorios MalwareBytes . 30 de noviembre de 2020.
48. Vado, Eric; Nichols, Ben (septiembre de 2022). "¿Gootloader está trabajando con un servicio de inteligencia extranjero?" (PDF) . reloj profundo .
49. "GandCrab ransomware: se esconde detrás de fuentes y currículums gratuitos". boannews (en coreano). 2018-11-12.
50. "BlueCrab ransomware: utilice escenarios de ataque optimizados para particulares y empresas. Tenga cuidado al descargar archivos". inews24 (en coreano). 2021-02-02.
51. "Consejos de seguridad para responder al ataque de ransomware 'MY DECRYPTER'". Aviso de seguridad de KrCERT (en coreano). 2017-10-23.
52. "Infectar con ransomware y exigir tarifas de recuperación... Arresto y procesamiento de representantes de la empresa que recaudaron 2.600 millones de wones". Sistema de radiodifusión KBS Korea (en coreano). 2023-11-20.
53. "La Corte Suprema de Corea ocultó durante seis meses el incidente de piratería llevado a cabo por piratas informáticos de Corea del Norte. La contraseña era 123qwe". Noticias Nocut (en coreano). 2023-12-05.
54. "La organización internacional de piratería 'Lockbit' anuncia planes para revelar datos que afirman haber pirateado el Servicio Nacional de Impuestos". Sistema de radiodifusión KBS Korea (en coreano). 2023-03-30.