in

Rusia detiene la operación de ransomware REvil y arresta a miembros clave



El Servicio de Seguridad Federal de Rusia (FSB) arrestó a miembros del prolífico grupo de ransomware REvil a pedido del gobierno de los EE. UU. Este es un desarrollo significativo que se recibe con cierto escepticismo dado su momento en medio de las tensiones geopolíticas entre las dos naciones.

En un comunicado, el FSB dijo que arrestó a 14 miembros de la pandilla REvil y registró 25 direcciones vinculadas a ellos, en una operación que condujo a la incautación de numerosos activos del grupo. Esto incluyó el equivalente de aproximadamente $ 6,8 millones en varias monedas, incluida la criptomoneda; 20 vehículos premium; equipo de computadora; y billeteras de criptomonedas utilizadas por el grupo REvil para sus operaciones.

Este desarrollo se produce en medio de la noticia de una serie de ataques cibernéticos en Ucrania hoy que derribaron sitios web de varias agencias gubernamentales, incluido el Ministerio de Educación y el Ministerio de Relaciones Exteriores del país. Todavía no está claro si los agentes con sede en Rusia estuvieron detrás de los ataques, aunque muchos los han señalado como posibles sospechosos.

El FSB describió su investigación como un esfuerzo complejo y coordinado que resultó en el cierre de la operación REvil y la neutralización de su infraestructura criminal. La investigación y el desmantelamiento se iniciaron a instancias de las autoridades estadounidenses, que identificaron al líder de REvil ante el FSB y proporcionaron información detallada sobre las actividades de ransomware de la pandilla dirigidas a empresas extranjeras, dijo el FSB. Los detalles completos de la operación se han puesto a disposición de las autoridades estadounidenses, agregó.

El cierre de REvil, al menos como lo describen las autoridades rusas, es significativo porque Rusia ha negado albergar grupos de ransomware organizados en el pasado y no ha tomado medidas contra ellos, a pesar de las solicitudes de los Estados Unidos. En una reunión en junio pasado, el presidente Biden advirtió a Rusia que los piratas informáticos estaban fuera del alcance de la infraestructura crítica de los EE. UU. e instó al presidente ruso, Vladimir Putin, a tomar medidas enérgicas contra el ransomware y otros grupos ciberdelincuentes que operan fuera del país.

La actividad de ataque de REvil, también conocida como Sodinokibi, surgió en 2020 ofreciendo malware a otros grupos de amenazas bajo un modelo de ransomware como servicio. El ransomware se ha utilizado en varios ataques contra grandes organizaciones, pero ninguno fue tan preocupante como uno contra JBS Foods en mayo pasado, que causó una interrupción significativa en el procesamiento y los envíos de carne en los Estados Unidos y Australia. Otro incidente que generó una preocupación generalizada fue el ataque de junio de 2021 a Kaseya, en el que se implementó ransomware en sistemas propiedad de miles de clientes de proveedores de servicios administrados.

En noviembre, el Departamento de Justicia de EE. UU. anunció una recompensa de $10 millones por información que conduzca a la identificación o ubicación de personas clave en el grupo REvil y $5 millones por información que conduzca al arresto y condena de un afiliado por liderar.

Escepticismo sobre los verdaderos motivos.
Varios expertos en seguridad dieron la bienvenida a la acción del FSB el viernes y la describieron como algo bueno en general.

Sin embargo, existe cierto escepticismo sobre los motivos reales detrás de la acción, dado que se produce en medio de crecientes tensiones entre EE. UU. y Rusia por la preocupación de que este último esté preparando una invasión de Ucrania. Las conversaciones entre los dos países para reducir la escalada de la situación en Ucrania hasta ahora no han llegado a nada, y existe una creciente preocupación de que el conflicto en la región pueda provocar una interrupción significativa en las relaciones entre Estados Unidos y Rusia.

“El cierre de REvil sirve a Rusia en las conversaciones con Estados Unidos y ayuda a ganarse el favor de los países occidentales que probablemente se involucren en el conflicto con Ucrania”, dijo Josh Lospinoso, director ejecutivo y cofundador de Shift5 y miembro fundador de US Cyber. Comando. “Esta exhibición pública también le da a Rusia una negación plausible [that] REvil fue responsable del ataque cibernético de JBS en el que recibieron $ 11 millones en rescate».

Al cerrar REvil, Rusia está enviando el mensaje de que se toma en serio los ataques cibernéticos a la infraestructura crítica. Sin embargo, los grupos de ransomware, en particular los que trabajan directa o indirectamente con el régimen de Putin, tienen un historial de resurgimiento, dice Lospinoso. Es muy probable que surja otro grupo para reemplazar a REvil, dijo.

Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dice que la situación geopolítica actual dificulta determinar qué tipo de mensaje está enviando Rusia con el final de la operación REvil. Solo el tiempo dirá si la operación indica una voluntad a largo plazo de las autoridades rusas de cooperar en asuntos de ciberseguridad.

«La cooperación en curso con las autoridades internacionales para interrumpir y disuadir los ataques cibernéticos que emanan del territorio ruso enviaría un mensaje de que el gobierno tiene la intención de impulsar un cambio a largo plazo», dice Breen.

En la superficie, al menos, el derribo de REvil por parte del FSB indica la voluntad de Rusia de actuar sobre la información de las autoridades estadounidenses y de las naciones aliadas. La charla en los foros clandestinos que Trustwave monitoreó en noviembre pasado indicó al menos cierto nivel de preocupación entre los actores de amenazas con sede en Rusia de que las agencias de aplicación de la ley en el país los estaban rastreando. Según el proveedor de seguridad, algunos miembros del foro incluso discutieron la posibilidad de ser atrapados y cómo prepararse para ello, así como las posibles sanciones que podrían seguir. El propio grupo REvil ha suspendido sus actividades en los últimos meses debido a una mayor atención policial a sus actividades.

Según Silas Cutler, analista de amenazas en Stairwell, los arrestos de REvil podrían ser un intento de Rusia de parecer que está trabajando para combatir el ransomware y otros grupos de amenazas que operan fuera del país. Pero al menos hasta ahora, la acción parece haber hecho poco para asustar al menos a algunos ciberdelincuentes.

“Los miembros de los foros de ciberdelincuencia se han apresurado a comentar y bromear que es poco probable que los arrestados sean miembros clave de estos grupos y que probablemente sean asociados de nivel bajo o medio que no se han puesto en contacto con las autoridades correspondientes para recibir el pago de protección”, dice Cutler. . «En los últimos años, algunas familias de ransomware se han diseñado específicamente para no afectar los sistemas con artefactos en idioma ruso, para garantizar que sus operaciones se centren solo en objetivos internacionales para evitar violar las leyes rusas».

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Las medidas de ciberseguridad que los CTO están implementando

A pedido de EE. UU., Rusia reúne a 14 socios de ransomware REvil – Krebs on Security