La notoria operaci\u00f3n de ransomware conocida como REvil (tambi\u00e9n conocida como Sodin o Sodinokibi) se reanud\u00f3 despu\u00e9s de seis meses de inactividad, seg\u00fan revel\u00f3 un an\u00e1lisis de nuevas muestras de ransomware.<\/p>\n
“El an\u00e1lisis de estas muestras indica que el desarrollador tiene acceso al c\u00f3digo fuente de REvil, lo que refuerza la probabilidad de que el grupo de amenazas haya resurgido”, investigadores de Secureworks Counter Threat Unit (CTU) dicho<\/a> en un informe publicado el lunes.<\/p>\n “La identificaci\u00f3n de m\u00faltiples muestras con diversas modificaciones en un per\u00edodo de tiempo tan corto y la falta de una nueva versi\u00f3n oficial indica que REvil est\u00e1 bajo un fuerte desarrollo activo una vez m\u00e1s”.<\/p>\n REvil, abreviatura de Ransomware Evil, es un esquema de ransomware como servicio (RaaS) y se atribuye a un grupo de habla rusa conocido como Southfield de oro<\/a>surgiendo as\u00ed como gandcangrejo<\/a> la actividad decay\u00f3 y estos \u00faltimos anunciaron su retiro.<\/p>\n Tambi\u00e9n es uno de los primeros grupos en adoptar el esquema de doble extorsi\u00f3n en el que los datos robados de las intrusiones se utilizan para generar apalancamiento adicional y obligar a las v\u00edctimas a pagar. <\/p>\n Operacional desde 2019<\/a>el grupo de ransomware lleg\u00f3 a los titulares el a\u00f1o pasado por sus ataques de alto perfil contra JBS y Kaseya, lo que llev\u00f3 a la pandilla a cerrar formalmente la tienda en octubre de 2021 despu\u00e9s de que una acci\u00f3n policial secuestrara su infraestructura de servidor.<\/p>\n A principios de enero, varios miembros pertenecientes al sindicato del ciberdelito fueron arrestados por el Servicio Federal de Seguridad (FSB) de Rusia luego de redadas realizadas en 25 lugares diferentes del pa\u00eds.<\/p>\n El aparente resurgimiento se produce como el sitio de fuga de datos de REvil en la red TOR comenz\u00f3 a redirigir<\/a> a un nuevo host el 20 de abril, y la firma de seguridad cibern\u00e9tica Avast revel\u00f3 una semana despu\u00e9s que hab\u00eda obstruido<\/a> una muestra de ransomware en estado salvaje “que parece una nueva variante de Sodinokibi\/REvil”.<\/p>\n Si bien se descubri\u00f3 que la muestra en cuesti\u00f3n no cifraba los archivos y solo agregaba una extensi\u00f3n aleatoria, Secureworks lo atribuy\u00f3 a un error de programaci\u00f3n introducido en la funcionalidad que cambia el nombre de los archivos que se est\u00e1n cifrando.<\/p>\n Adem\u00e1s de eso, el nuevo muestras<\/a> disecado por la firma de ciberseguridad, que lleva una marca de tiempo del 11 de marzo de 2022, incorpora cambios notables en el c\u00f3digo fuente que lo distinguen de otro artefacto REvil con fecha de octubre de 2021.<\/p>\n Esto incluye actualizaciones de su l\u00f3gica de descifrado de cadenas, la ubicaci\u00f3n de almacenamiento de la configuraci\u00f3n y las claves p\u00fablicas codificadas. Tambi\u00e9n se revisaron los dominios Tor que se muestran en la nota de rescate, que hacen referencia a los mismos sitios que se activaron el mes pasado:<\/p>\n Es probable que el renacimiento de REvil tambi\u00e9n est\u00e9 relacionado con la invasi\u00f3n en curso de Rusia a Ucrania, luego de lo cual EE. UU. se retir\u00f3 de una cooperaci\u00f3n conjunta propuesta<\/a> entre los dos pa\u00edses para salvaguardar la infraestructura cr\u00edtica.<\/p>\n En todo caso, el desarrollo es otra se\u00f1al m\u00e1s de que los actores de ransomware se disuelven solo para reagruparse y cambiar su marca con un nombre diferente y continuar desde donde lo dejaron, lo que subraya la dificultad de erradicar por completo a los grupos de ciberdelincuentes.<\/p>\n <\/p>\n<\/div>\n\n