Irónico: el grupo ruso de cibercriminales REvil, responsable de un ataque masivo de ransomware el pasado julio (realizado a través de los sistemas de Kaseya y que alcanzó cifras récord de un millón de sistemas afectados y peticiones de rescate por valor de 70 millones de dólares)… ha sido hackeado.
Según publica Reuters, ha sido una operación conjunta de varios países llevada a cabo esta semana la que ha obligado a REvil a dejar de operar online, impidiendo que el grupo repitiera su ‘gesta’ veraniega y secuestrara datos vitales de más organizaciones.
Su sitio web «Happy Blog», localizado en la Dark Web, y que el grupo utilizaba para filtrar datos de víctimas y extorsionar a las compañías (la española Adif se vio también afectada), tampoco está ya disponible.
El ataque contra Kaseya, una compañía de servicios de IT en remoto, abrió para REvil las puertas a los sistemas de cientos de sus clientes… y puso al grupo en el punto de mira del FBI
En palabras de Tom Kellermann, jefe de estrategia de ciberseguridad de VMWare y asesor del Servicio Secreto estadounidense en investigaciones de ciberdelitos:
«El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, realmente se están implicando en la realización de ataques relevantes contra esta clase de grupos. REvil sólo ha sido el primero de la lista».
El motivo de ese puesto ‘privilegiado’ de REvil no se debe únicamente a su ataque masivo de julio, sino también a sus conexiones con otros grupos de cibercriminales similares, como los vinculados al hackeo que unos meses antes había afectado a la mayor empresa de oleoductos de los EE. UU., obligando al país a declarar el estado de emergencia.
Así le devolvieron el golpe a REvil
Uno de los miembros relevantes de REvil, conocido sólo como «0_neday» informó el pasado fin de semana, en un foro de la Dark Web, que los servidores de REvil habían sido pirateados por una entidad anónima:
«El servidor estaba comprometido y me estaban buscando. Buena suerte a todos; estoy fuera».
Tras el ataque a Kaseya, el FBI logró obtener una clave de descifrado universal que permitió a las víctimas recuperar sus archivos sin necesidad de pagar un rescate. Aunque el mes pasado se generó una fuerte polémica cuando se supo que la agencia había ocultado durante semanas este hecho con la esperanza de poder capturar a miembros de REvil o, al menos, acabar con sus operaciones.
Pero entonces, los servidores de REvil se desconectaron silenciosamente y esas semanas de espera (que generaron millones en pérdidas a algunas compañías) parecían no haber servido para nada. Sin embargo, según indica Reuters, la intrusión del FBI en los sistemas de REvil se saldó con su control de parte de los mismos…
…de tal modo que, cuando ‘0_neday’ y el resto de miembros del grupo restauraron sus servidores a partir de una copia de seguridad el mes pasado, reiniciaron sin saberlo algunos sistemas internos que ya estaban controlados por la policía.
En palabras de Oleg Skulkin, subdirector del laboratorio forense de la compañía de seguridad Group-IB,
«REvil restauró la infraestructura de las copias de seguridad bajo el supuesto de que no se habían visto comprometidas. E irónicamente, la táctica favorita del grupo —comprometer las copias de seguridad— se terminó volviendo en su contra«.
Contar con copias de seguridad fiables es una de las principales defensas contra los ataques de ransomware, pero si no se mantienen aisladas de las redes principales también pueden terminar siendo encriptadas por extorsionadores como REvil (o controladas por el FBI, como en este caso).