A medida que surgen nuevas pistas, los expertos se preguntan: ¿Regresó REvil?


El cambio es parte de la vida, y nada permanece igual por mucho tiempo, incluso con los grupos de hackers, que son más peligrosos cuando trabajan en completo silencio. El notorio REvil Secuestro de datos La pandilla, vinculada al infame JBS y Kaseya, ha resurgido tres meses después del arresto de sus miembros en Rusia.

El servicio de inteligencia nacional ruso, el FSB, había capturado a 14 personas de la pandilla. En esta aprehensión, los 14 integrantes de la banda fueron hallados en posesión de 426 millones de rublos, 600.000 dólares, 500.000 euros, equipos informáticos y 20 automóviles de lujo fueron puestos a disposición judicial.

REvil Ransomware Gang: el contexto

El grupo de amenazas cibernéticas con motivación financiera Gold Southfield controlado por el grupo de ransomware conocido como REvil surgió en 2019 y se extendió como un reguero de pólvora después de extorsionar $ 11 millones del procesador de carne JBS.

REvil incentivaría a sus afiliados para que lleven a cabo ataques cibernéticos por ellos dando un porcentaje de los pagos de rescate a aquellos que ayuden con las actividades de infiltración en las computadoras objetivo.

En julio de 2021, los piratas informáticos que trabajaban bajo REvil explotaron vulnerabilidades de día cero en el servicio de proveedor de servicios administrados (MSP) desarrollado por una empresa llamada Kaseya. Como suele ser el caso, estas vulnerabilidades no se habían reparado y, por lo tanto, estaban abiertas para su explotación. El cambio de código se implementó globalmente en más de 30 MSP en todo el mundo y 1,000 redes comerciales administradas por esos MSP.

Los piratas informáticos alquilaron su ransomware a otros ciberdelincuentes para que pudiera ocurrir un ataque similar e interrumpir las actividades de otros. Se ha informado que los ataques sostenidos de ransomware revelaron que la mayoría de los grupos de piratería utilizan ransomware como servicio alquilando sus servicios a otros usuarios (que a menudo tienen fácil acceso a los sistemas, redes y otra información personal de la víctima). El famoso Colonial Pipeline, la compañía de oleoductos que opera en los Estados Unidos, fue atacado por REvil como parte de un servicio de Ransomware.

En octubre de 2021, una operación policial en varios países tomó el control de los principales recursos relacionados con el ransomware de REvil y desmanteló la campaña de red oscura que se estaba llevando a cabo en servidores ToR anónimos.

Pero gracias a la colaboración entre Estados Unidos y Rusia, la pandilla REvil fue desmantelada y el grupo en sí fue pirateado. El sitio web “Happy Blog” del grupo criminal, utilizado para filtrar datos de víctimas y extorsionar a las empresas y proporcionar una vía para felicitar a los miembros involucrados en ataques exitosos, fue forzado a desconectarse.

ReVil regresando

Los investigadores de ciberseguridad han presentado muestras del ransomware REvil. Sus hallazgos, basados ​​en los hallazgos de muestras que mostraban fechas de creación y cadenas de compilación idénticas junto con varios otros atributos, lo que significa que probablemente lo haga la misma persona/equipo, refuerza su argumento de que, de hecho, han identificado al desarrollador original del ransomware REvil y deberían hacerlo. Lógicamente, por tanto, concluir que el grupo de ciberdelincuentes autoexiliados conocido como REvil ha regresado. Recientemente, el último sitio de fugas de ransomware se promocionó a través del foro ruso RuTOR, un sitio web que supuestamente comercializa datos filtrados a los clientes.

Según Vines, Los sitios Tor de REvil han vuelto a la vida.

A fines de abril de este año, los investigadores de seguridad notaron que se había encontrado cierto malware en versiones anteriores.

Los ataques habían reanudado su actividad después de un largo período de calma. Dos investigadores que están en el lado oscuro de la ciberseguridad descubrieron recientemente un blog en la web oscura que se utiliza para publicar ataques de ransomware, y estaba atrayendo a otros a participar en esta peligrosa tendencia. También se encontraron con la noticia de que los atacantes se han encargado de reclutar más piratas informáticos fantasma.

La muestra de ransomware confirma la devolución:

El último ejemplo ha utilizado valores de tipo GUID más largos, como

3c852cc8-b7f1-436e-ba3b-c53b7fc6c0e4 para las opciones SUB y PID para realizar un seguimiento de las identidades de campañas y afiliados, respectivamente.

¿Ha vuelto REvil? – ¿Cómo puedes contraatacar?

REvil es conocido por ser un ransomware particularmente destructivo, y su regreso significa que las empresas y las personas deben estar en alerta máxima ante posibles ataques. Es demasiado pronto para decir si el regreso de la banda de ransomware REvil será tan efectivo como su predecesor.

Pero el hecho de que apareciera poco después de la operación de eliminación indica que esta puede ser su intención, y se sugiere que las mejores prácticas de protección contra ransomware y seguridad web sean una regularidad.

Cuando se trata de proteger su sitio web de piratas informáticos y delincuentes, existen varias metodologías que puede utilizar, algunas de las cuales incluyen:

  • Uso de un escáner de aplicación web automatizado, prueba de penetración manual.
  • Configuración de programas antimalware y antivirus para análisis de seguridad periódicos, etc.
  • Implemente programas de capacitación en seguridad: sus usuarios finales y empleados deben conocer la amenaza del ransomware y cómo se inicia.
  • Habilitar el principio de “privilegio mínimo” para los usuarios de la aplicación lo ayudará a asegurarse de que nadie pueda acceder a ninguna parte de su aplicación a la que otro usuario no tenga acceso, lo que les permitirá evitar que ocurran infracciones de seguridad.
  • Apoye a su departamento de seguridad de la información mediante la introducción de iniciativas de concientización sobre amenazas cibernéticas que enseñen a los usuarios finales y empleados cómo reconocer el modus operandi de los ciberdelincuentes.
  • Asegúrese de que su empresa esté protegida contra la descarga de cualquier archivo ejecutable adjunto a los correos electrónicos entrantes o salientes para que la aplicación de su sitio web no sea vulnerable a los piratas informáticos.
  • Para evitar que los atacantes cibernéticos ingresen a sus aplicaciones web, se sugiere configurar un Firewall de aplicaciones web (WAF) para bloquear el acceso a direcciones IP maliciosas.
  • Además, la instalación de certificados SSL adecuados para la protección contra ataques Man-In-The-Middle o el uso de complementos de inicio de sesión que verifiquen el token de seguridad del cliente pueden reducir el riesgo de sucumbir a violaciones de datos.
  • Obtenga el apoyo de proveedores de servicios de ciberseguridad gestionados de confianza como Indusface para adelantarse a las amenazas emergentes y ayudar a abordar los problemas de seguridad en tiempo real. Asegúrese de que tengan las certificaciones adecuadas, manténganse actualizados sobre las últimas noticias de seguridad cibernética y estén siempre disponibles en caso de que necesite asistencia en el campo.

Conclusión

No será una sorpresa si el grupo de ransomware REvil reanuda los ataques ya que los creadores originales de la encarnación anterior aún existen. Es probable que incluso aquellos atrapados vuelvan a intentarlo en el futuro, lo que es especialmente aterrador si piensas en lo preparados que están estos ladrones en línea.

Hacer que roben las identidades digitales, los servidores y los archivos de datos de sus clientes debido al ransomware podría significar perder mucho tiempo y dinero, ya que estos ataques solo empeoran con el tiempo.

Además, podría decirse que la importancia de proteger su reputación o evitar que se dañe puede ser inconmensurable. Por lo tanto, las empresas deben asegurarse de que su marca, propiedad intelectual e información personal o confidencial estén protegidas de los ciberdelincuentes que usan ataques de ransomware a diario.



ttn-es-57