El misterioso grupo responsable del Ășltimo gran ciberataque en EE UU desaparece de internet
- RedcĂłmputo Ltda
- 16 jul 2021
- 3 min de lectura
Washington acusa a MoscĂș de estar detrĂĄs de REvil, cuyas pĂĄginas quedaron inaccesibles este martes

Las webs administradas en el internet oscuro por el grupo de cibercriminales REvil, responsable de un gigantesco ataque de ramsonware que ha afectado en los Ășltimos dĂas a cientos de empresas en todo el mundo, se volvieron sĂșbitamente inaccesibles este martes, segĂșn constataron varios expertos en ciberseguridad. El incidente se produce despuĂ©s de que el pasado viernes el presidente estadounidense, Joe Biden, sugiriera que su paĂs podrĂa tomar medidas drĂĄsticas contra los ataques llevados a cabo desde servidores rusos.
El grupo cibercriminal, tambiĂ©n conocido como Sodinokibi, habĂa recabado decenas de millones de dĂłlares en pagos de rescate a cambio de restaurar los sistemas informĂĄticos saboteados, segĂșn informa la agencia Reuters. El ataque comenzĂł el pasado 2 de julio cuando los hakcers se infiltraron en la empresa de tecnologĂa Kaseya, que proporciona servicios de administraciĂłn de redes y utilizaron sus sistemas para propagar el programa malicioso. El virus ha alcanzado desde entonces a entre 800 y 1.500 empresas, la mayorĂa en Estados Unidos. El ransomware es un tipo de software malicioso que restringe el acceso a un sistema informĂĄtico hasta que se pague un rescate.
The New York Times establece tres hipĂłtesis sobre la sĂșbita desapariciĂłn de las pĂĄginas de REvil. La primera es que el presidente Biden haya ordenado al cibercomando de los Estados Unidos, que trabaja agencias como el FBI, tumbar las pĂĄginas del grupo de cibercriminales. La segunda es que el apagĂłn de las webs haya sido ordenado por el presidente ruso, Vladimir Putin, como un gesto tras las advertencias de Biden, y en vĂsperas de una comisiĂłn bilateral para hablar de los ciberataques. La tercera es que el propio grupo criminal haya decidido borrarse temporalmente de internet para no caer en el fuego cruzado entre ambos presidentes. Eso fue lo que hizo DarkSide, otro grupo con sede en Rusia, responsable del ataque contra el oleoducto Colonial Pipeline que paralizĂł buena parte del suministro de combustible en la costa este de EE UU el pasado mayo.
âEn realidad es difĂcil saber porque se han desconectadoâ, explica Igor Unanue CTO de la empresa de ciberseguridad S21Sec. âEs probable que solo estĂ©n actualizando sus sistemas, no puede saberse que ha pasado hasta que ellos mismos lo expliquen, si lo hacen. Hay muchos grupos que se desconectan y vuelven otra vezâ, cuenta. Unanue asegura que este ciberataque ha sido el tercero mĂĄs grave en lo que va de año, de entre los grupos que publican en internet sus actividades. âCada vez los ciberataques son mĂĄs dañinosâ, asegura. âAntes el ransonware tenĂa como finalidad pedir un rescate, ahora tambiĂ©n se chantajea con datos confidenciales y puede ser un mĂ©todo de espionaje industrialâ.
Alba Villalba especialista en el ĂĄrea de ciberinteligencia, explica que rastrear el programa no permite saber quiĂ©nes son las personas que estĂĄn detrĂĄs de la acciĂłn criminal, porque esta puede ser por encargo. âREvil ha desplegado el ataque, pero pueden haber alquilado el programaâ, cuenta. En el caso de Kaseya âno han atacado a las empresas en sĂ, sino que han atacado un proveedor de servicios, les han infectado este software y a travĂ©s de una cadena de infecciones han conseguido llegar a cientos de compañĂa. Claramente el objetivo es econĂłmico, pero eso no quita para que puedan contar con patrocinio estatalâ afirma.
Kurtis Minder, fundador de la firma de ciberseguridad GroupSense, asegurĂł que si el apagĂłn de las pĂĄginas se debĂa a una acciĂłn de EE UU eso plantearĂa algunas cuestiones preocupantes. âSi se trataba de una ofensiva cibernĂ©tica organizada, espero que hayan considerado los posibles daños colateralesâ, dijo en declaraciones citadas por Reuters. Los ciberdelincuentes se hacen con las llaves de los datos cifrados de sus vĂctimas y si estas llaves se hubieran perdido o destruido âmuchas compañĂas tendrĂĄn dificultades para recuperarseâ.
âHay indicios de que REvil fue vĂctima del desmantelamiento planificado de su infraestructura, ya sea por los propios operadores, o por la industria, o por las autoridadesâ, asegurĂł por su parte John Hultquist, de la compañĂa Mandiant Threat Intelligence, en un mensaje a AFP. Un informe reciente de IBM Security X-Force identificĂł a Sodinokibi como el grupo mĂĄs potente de ciberdelincuentes de ransomware, y le atribuyĂł el 29% de dichos ciberataques en 2020.
Tomado de: El PaĂs