La notoria pandilla rusa de ransomware ‘REvil’ resurge y genera preocupaciones de seguridad
Los portales web oscuros que una vez fueron administrados por la pandilla de ransomware REvil han vuelto a estar en línea hoy, lo que genera preocupaciones de que la célebre pandilla de ransomware pronto reiniciará sus ataques.
Durante el feriado estadounidense del 4 de julio, el grupo desactivó su infraestructura web después de un ataque masivo de ransomware contra los servidores de Kaseya. Estos fueron los mismos incidentes que llamaron la atención de los funcionarios de la Casa Blanca.
Sin embargo, tanto las autoridades estadounidenses como las rusas han negado cualquier participación en la misteriosa desaparición de esta banda de ransomware de habla rusa.
En ese momento, parece que el grupo se había disuelto y planeado ejecutar un nuevo ataque de ransomware contra varios investigadores de las fuerzas del orden y empresas de seguridad de EE. UU .
Poco después de un aumento en el aumento de los ataques de ransomware en los EE. UU., Joe Biden (presidente de los EE. UU.) tomó la iniciativa y organizó una reunión de seguridad cibernética con varios directores ejecutivos de gigantes tecnológicos. El propósito de esta reunión fue analizar cómo las empresas garantizan la ciberseguridad después de las recientes oleadas de ataques de ransomware y violaciones de seguridad.
Según los tweets de las redes sociales de varios investigadores de seguridad, habían resurgido varios sitios web, incluido Happy Blog, conectado directamente a REvil.
Según un tuit del editor en jefe de bleeping computer, la entrada más reciente fue de una víctima atacada el 8 de julio.
Según el experto en ransomware Allan Liska, el regreso de REvil era inevitable, pero esta vez con un nombre diferente y una nueva variante de ransomware.
Las cosas definitivamente se pusieron calientes para ellos por un tiempo, por lo que necesitaban dejar que las fuerzas del orden se calmaran. El problema (para ellos) es que, si este es realmente el mismo grupo, utilizando la misma infraestructura, no compraron ninguna distancia de las fuerzas del orden o los investigadores, lo que los pondrá de nuevo en el punto de mira de literalmente todas las leyes. grupo de ejecución en el mundo (excepto Rusia). También agregaré que revisé todos los repositorios de código habituales, como VirusTotal y Malware Bazaar, y aún no he visto ninguna muestra nueva publicada. Entonces, si han lanzado nuevos ataques de ransomware, no ha habido muchos.
Como analista de amenazas de Emisoft, Brett Callow dijo que REvil atacó al menos a 360 organizaciones con sede en EE. UU. este año.
Varias víctimas de REvil se encontraron en una situación difícil, incluso después de que cerraron el grupo en julio. Por ejemplo, Mike Hamilton, ex CISO de Seattle y ahora CISO de la firma de remediación de ransomware Critical Insight, dijo que una empresa pagó un rescate después del ataque de Kaseya y recibió las claves de descifrado de REvil, pero descubrió que no funcionaban.
Algunos de nuestros clientes se bajaron muy fácilmente. Si tenía ese agente instalado en computadoras sin importancia, simplemente las reconstruyó y volvió a la vida. Pero recibimos una llamada de socorro hace unos días de una empresa que se vio muy afectada porque tenía una empresa que administraba muchos de sus servidores con Kaseya VSA. Muchos de sus servidores fueron atacados y tenían mucha información sobre ellos, por lo que llamaron a su compañía de seguros y decidieron pagar el rescate".
Según un informe publicado por la empresa de seguridad BlackFog, de todos los ataques de ransomware en agosto, REvil representó más del 23% de los ataques que rastrearon el mes pasado. Eso fue más que cualquier otro grupo rastreado en el informe.