top of page

El misterioso grupo responsable del Ășltimo gran ciberataque en EE UU desaparece de internet

Washington acusa a MoscĂș de estar detrĂĄs de REvil, cuyas pĂĄginas quedaron inaccesibles este martes


Las webs administradas en el internet oscuro por el grupo de cibercriminales REvil, responsable de un gigantesco ataque de ramsonware que ha afectado en los Ășltimos dĂ­as a cientos de empresas en todo el mundo, se volvieron sĂșbitamente inaccesibles este martes, segĂșn constataron varios expertos en ciberseguridad. El incidente se produce despuĂ©s de que el pasado viernes el presidente estadounidense, Joe Biden, sugiriera que su paĂ­s podrĂ­a tomar medidas drĂĄsticas contra los ataques llevados a cabo desde servidores rusos.


El grupo cibercriminal, tambiĂ©n conocido como Sodinokibi, habĂ­a recabado decenas de millones de dĂłlares en pagos de rescate a cambio de restaurar los sistemas informĂĄticos saboteados, segĂșn informa la agencia Reuters. El ataque comenzĂł el pasado 2 de julio cuando los hakcers se infiltraron en la empresa de tecnologĂ­a Kaseya, que proporciona servicios de administraciĂłn de redes y utilizaron sus sistemas para propagar el programa malicioso. El virus ha alcanzado desde entonces a entre 800 y 1.500 empresas, la mayorĂ­a en Estados Unidos. El ransomware es un tipo de software malicioso que restringe el acceso a un sistema informĂĄtico hasta que se pague un rescate.


The New York Times establece tres hipĂłtesis sobre la sĂșbita desapariciĂłn de las pĂĄginas de REvil. La primera es que el presidente Biden haya ordenado al cibercomando de los Estados Unidos, que trabaja agencias como el FBI, tumbar las pĂĄginas del grupo de cibercriminales. La segunda es que el apagĂłn de las webs haya sido ordenado por el presidente ruso, Vladimir Putin, como un gesto tras las advertencias de Biden, y en vĂ­speras de una comisiĂłn bilateral para hablar de los ciberataques. La tercera es que el propio grupo criminal haya decidido borrarse temporalmente de internet para no caer en el fuego cruzado entre ambos presidentes. Eso fue lo que hizo DarkSide, otro grupo con sede en Rusia, responsable del ataque contra el oleoducto Colonial Pipeline que paralizĂł buena parte del suministro de combustible en la costa este de EE UU el pasado mayo.


“En realidad es difĂ­cil saber porque se han desconectado”, explica Igor Unanue CTO de la empresa de ciberseguridad S21Sec. “Es probable que solo estĂ©n actualizando sus sistemas, no puede saberse que ha pasado hasta que ellos mismos lo expliquen, si lo hacen. Hay muchos grupos que se desconectan y vuelven otra vez”, cuenta. Unanue asegura que este ciberataque ha sido el tercero mĂĄs grave en lo que va de año, de entre los grupos que publican en internet sus actividades. “Cada vez los ciberataques son mĂĄs dañinos”, asegura. “Antes el ransonware tenĂ­a como finalidad pedir un rescate, ahora tambiĂ©n se chantajea con datos confidenciales y puede ser un mĂ©todo de espionaje industrial”.


Alba Villalba especialista en el ĂĄrea de ciberinteligencia, explica que rastrear el programa no permite saber quiĂ©nes son las personas que estĂĄn detrĂĄs de la acciĂłn criminal, porque esta puede ser por encargo. “REvil ha desplegado el ataque, pero pueden haber alquilado el programa”, cuenta. En el caso de Kaseya “no han atacado a las empresas en sĂ­, sino que han atacado un proveedor de servicios, les han infectado este software y a travĂ©s de una cadena de infecciones han conseguido llegar a cientos de compañía. Claramente el objetivo es econĂłmico, pero eso no quita para que puedan contar con patrocinio estatal” afirma.


Kurtis Minder, fundador de la firma de ciberseguridad GroupSense, asegurĂł que si el apagĂłn de las pĂĄginas se debĂ­a a una acciĂłn de EE UU eso plantearĂ­a algunas cuestiones preocupantes. “Si se trataba de una ofensiva cibernĂ©tica organizada, espero que hayan considerado los posibles daños colaterales”, dijo en declaraciones citadas por Reuters. Los ciberdelincuentes se hacen con las llaves de los datos cifrados de sus vĂ­ctimas y si estas llaves se hubieran perdido o destruido “muchas compañías tendrĂĄn dificultades para recuperarse”.


“Hay indicios de que REvil fue vĂ­ctima del desmantelamiento planificado de su infraestructura, ya sea por los propios operadores, o por la industria, o por las autoridades”, asegurĂł por su parte John Hultquist, de la compañía Mandiant Threat Intelligence, en un mensaje a AFP. Un informe reciente de IBM Security X-Force identificĂł a Sodinokibi como el grupo mĂĄs potente de ciberdelincuentes de ransomware, y le atribuyĂł el 29% de dichos ciberataques en 2020.


Tomado de: El PaĂ­s

bottom of page