REvil

Ir a la navegaciónIr a la búsqueda
REvil (Ransomware Evil; también conocido como Sodinokibi) era una
operación de "ransomware como servicio" procedente de Rusia o con
miembros que hablaban ruso.123 Después de un ataque, REvil amenazaba
publicar la información en su página Happy Blog a no ser que se pagara el
rescate. En un caso de alto perfil, REvil atacó un proveedor del gigante de
tecnología Apple y robó esquemas confidenciales de futuros productos. En
enero de 2022, el Servicio de Seguridad Federal ruso dijo que habían
desmantelado REvil y enjuiciado a muchos de sus miembros.

Índice

 1Historia
o 1.12020
o 1.22021
 2Referencias

Historia[editar]
REvil reclutaba afiliados para distribuir ransomware para ellos. Como parte del
arreglo, los afiliados y los desarrolladores del ransomware se dividían las
ganancias por los pagos del rescate. 4 Era difícil señalar su ubicación exacta,
pero se pensaba que estaban localizados en Rusia debido a que el grupo no
tenía como objetivo organizaciones rusas, o de aquellos países que
pertenecían al bloque soviético.5
El código del Ransomware utilizado por REvil se parece al código utilizado por
DarkSide, un grupo de hacking diferente; El código de REvil no está disponible
públicamente, sugiriendo que DarkSide es una rama de REvil o un socio de
REvil.67 REvil y DarkSide usaban notas de rescate con estructura similar y el
mismo código que revisaba que la víctima no estuviera localizada en un país de
la Comunidad de Estados Independientes (CEI).8
Expertos en ciberseguridad creían que REvil era una rama de un notable pero
extinto grupo de hacking anterior, GandCrab. 9 Esto se sospecha debido a que
REvil se activó justo después de que GandCrab cerrrara, y que ambos
ransomware compartan una cantidad significativa de código.
2020[editar]
Como parte de sus operaciones criminales, son conocidos por robar casi
un terabyte de información de la compañía de abogados Grubman Shire
Meiselas & Sacks y reclamando un rescate para no publicar los datos. 101112 El
grupo también intentó extorsionar a otras compañías y personajes públicos.
En mayo de 2020 reclamaron $42 millones a Donald Trump, presidente de
EE.UU.13 El grupo indicó haber hecho eso descifrando la criptografía de curva
elíptica que la empresa utilizaba para proteger sus datos. 14 Según una
entrevista con un supuesto miembro, encontraron un comprador para la
información de Trump, pero esto no pudo ser confirmado. 15 En la misma
entrevista, el miembro informó que cobrarían $100 millones por rescates en
2020.
El 16 de mayo de 2020, el grupo liberó documentos legales sumando un total
de 2.4 GB relacionado con la cantante Lady Gaga.16 Al día siguiente liberaron
169 correos electrónicos "inofensivos" referidos a a Donald Trump o que
contenían la palabra "Trump"11.
2021[editar]
El 2 de julio de 2021, cientos de proveedores de servicio fueron infectados por
el ransomware de REvil a través del software de administración
remota Kaseya.17REvil demandó $70 millones para restaurar los datos
encriptados18. En consecuencia, la cadena sueca de tiendas Coop tuvo que
cerrar 800 tiendas durante varios días19.
El 7 de julio de 2021, REvil hackeó las computadoras de la empresa de
tecnología de lanzamiento de armas HX5, que tiene entre sus clientes a la
NASA, el ejército, la armada y la fuerza aérea de Estados Unidos y publicó los
documentos robados en su Happy Blog. El New York Times informó que los
documentos no eran de "vitales consecuencias" 20.
El 13 de julio de 2021, los sitios web de REvil y otras de sus infraestructuras
desaparecieron de internet. La revista Politico citando a un oficial de alto cargo
de la administración de Estados Unidos dijo que no sabían porque las
operaciones de REvil habían cesado. El oficial tampoco descartó la posibilidad
de que Rusia cerrara el grupo o que lo haya obligado a cerrar 21.
El 23 de julio de 2021, Kaseya anunció que había recibido las clave de
desencriptación para los archivos encriptados en el ataque de ransomware del
2 de julio, procedente de un tercero "confiable". Luego se descubrió que era el
FBI que había retenido la clave por 3 semanas y estaba ayudando a las
víctimas a restaurar sus archivos. La clave fue retenida para evitar que REvil se
entere de los esfuerzos del FBI para sacar fuera de línea sus servidores, lo que
probó ser innecesario dado que los hackers desaparecieron de internet sin
mayor intervención22.

Referencias[editar]
0. ↑ Bowden, John (July 13, 2021). «Russian-based ransomware group 'REvil'
disappears after hitting US businesses». The Independent. Archivado desde el
original el August 13, 2021.
1. ↑ Collier, Kevin (July 13, 2021). «Prolific ransomware gang suddenly disappears
from internet. The timing is noteworthy.». NBC News. Archivado desde el original el
November 12, 2021.
2. ↑ Fokker, John (2 de octubre de 2019). «McAfee ATR Analyzes Sodinokibi aka
REvil Ransomware-as-a-Service - The All-Stars». McAfee Blogs (en inglés
estadounidense). Archivado desde el original el 11 de noviembre de 2021.
Consultado el 7 de octubre de 2020.
3. ↑ Abrams, Lawrence. «Sodinokibi Ransomware: Following the Affiliate Money
Trail». Bleeping Computer (en inglés estadounidense). Archivado desde el
original el 5 de julio de 2021. Consultado el 7 de octubre de 2020.
4. ↑ Saarinen, Juha (January 29, 2020). «No let up on REvil ransomware-as-a-service
attacks». it news.
5. ↑ SangerPerlroth>David E. Sanger & Nicole Perlroth, F.B.I. Identifies Group Behind
Pipeline Hack, New York Times (May 10, 2021).
6. ↑ Charlie Osborne, Researchers track down five affiliates of DarkSide ransomware
service, ZDNet (May 12, 2021).
7. ↑ What We Know About the DarkSide Ransomware and the US Pipeline
Attack, Trend Micro Research (May 14, 2021).
8. ↑ Vijayan, Jai (September 25, 2019). «GandCrab Developers Behind Destructive
REvil Ransomware». DARKReading.
9. ↑ Cimpanu, Catalin. «Ransomware gang asks $42m from NY law firm, threatens to
leak dirt on Trump». ZDNet (en inglés). Consultado el 17 de mayo de 2020.
10. ↑ Saltar a:a b Winder, Davey. «Hackers Publish First 169 Trump 'Dirty Laundry'
Emails After Being Branded Cyber-Terrorists». Forbes (en inglés). Consultado el
17 de mayo de 2020.
11. ↑ Sykes, Tom (15 de mayo de 2020). «'REvil' Hackers Double Their Allen Grubman
Ransom Demand To $42m, Threaten To Dump Donald Trump Dirt» (en inglés).
Consultado el 17 de mayo de 2020.
12. ↑ «Criminal group that hacked law firm threatens to release Trump
documents». NBC News (en inglés). Consultado el 17 de mayo de 2020.
13. ↑ «Forbes». Forbes.
14. ↑ Seals, Tara (October 29, 2020). «REvil Gang Promises a Big Video-Game Hit;
Maze Gang Shuts Down». threatpost.
15. ↑ Dazed (16 de mayo de 2020). «Hackers have leaked Lady Gaga's legal
documents». Dazed (en inglés). Consultado el 17 de mayo de 2020.
16. ↑ «Important Notice July 2nd, 2021 – Kaseya». web.archive.org. 3 de julio de 2021.
Consultado el 17 de marzo de 2022.
17. ↑ Satter, Raphael (6 de julio de 2021). «Up to 1,500 businesses affected by
ransomware attack, U.S. firm's CEO says». Reuters (en inglés). Consultado el 17
de marzo de 2022.
18. ↑ Ahlander, Johan (4 de julio de 2021). «Major ransomware attack against U.S. tech
provider forces Swedish store closures». Reuters (en inglés). Consultado el 17 de
marzo de 2022.
19. ↑ Sanger, David E. (8 de julio de 2021). «Biden Weighs a Response to
Ransomware Attacks». The New York Times (en inglés estadounidense). ISSN 0362-
4331. Consultado el 17 de marzo de 2022.
20. ↑ Toosi, Nahal. «Biden official: ‘We don’t know exactly why’ ransomware gang
vanished from the web». POLITICO (en inglés). Consultado el 17 de marzo de
2022.
21. ↑ «Ellen Nakishima; Rachel Lerman (Septiembre 21, 2021). "FBI held back
ransomware decryption key from businesses to run operation targeting hackers".
The Washington Post