This post is also available in: Português Español
Los operadores del ransomware REvil, grupo de origen ruso que se especializó en ataques ransomware a gran escala, ha reaparecido tras el supuesto cese de sus actividades tras el ataque a Kaseya, el 4 de julio.
Algunos blogs y perfiles conectados a REvil, que estaban desde hace 2 meses fuera del aire o sin actualizaciones, volvieron a dar señales de vida. Uno de esos dominios es el sitio web que hospedaba los filtros de datos del equipo, Happy Blog, que está de nuevo al aire, aunque la última publicación fue el 13 de julio de 2021.
Investigadores de seguridad cibernética da Recorded Future y Emsisoft confirmaron que gran parte de la infraestructura del grupo estaba online de nuevo.
Allan Liska, especialista en ransomware, le dijo al sitio web ZDNet que la mayoría de las personas esperaba que REvil regresara, pero con un nombre diferente y una nueva variante de ransomware.
Según Liska:
“Las cosas definitivamente se les puso color de hormiga por un tiempo, y tuvieron que esperar a que bajara la marea y las investigaciones se enfriaran. El problema es que si ellos de verdad son el mismo grupo, utilizando la misma infraestructura, estarán en la mira de literalmente todas las autoridades de los países donde el grupo actuó los últimos meses (excepto Rusia)”.
Grupo de éxito
El mes pasado, un informe de la empresa de seguridad BlackFog, que habla sobre ataques de ransomware, descubrió que el REvil fue responsable por más de 23% de los ataques rastreados en julio, eso fue más que cualquier otro grupo rastreado en el informado.
Según el CEO de BlackFog, Darren Willians, los datos muestran que REvil es una de las variantes de ransomware de mayor éxito en el 2021 y que no sorprende que el grupo haya reiniciado sus actividades debido a su anterior éxito.
Willians dice:
“Hay una demanda claramente reprimida por las técnicas y base de código del grupo. El nivel de presión aplicado por el presidente de EEUU y la discusión de alto nivel con Putín están correlacionadas al momento de pausa de actividades del grupo.
Por lo general, la red global de invasores que utilizan la tecnología del grupo REvil están en un nivel superior a los demás cibercriminales. El éxito de esos ataques recientes y el tamaño y volumen absolutos generaron indirectamente aún más interés de parte de los invasores que licencian la tecnología. Si funciona, entonces claramente más invasores aprovecharán tal tecnología hasta que algo mejor aparezca. El desafío para los proveedores de seguridad cibernética es evitar esos ataques usando tecnologías más recientes, como la exfiltración de dados”.
El currículo
Según el analista de amenazas de Emsisoft, Brett Callow, el grupo REvil atacó por lo menos 360 organizaciones con sede en los Estados Unidos este año.
El sitio web de investigación RansomWhere dice que el grupo recaudó más de U$ 11 millones solamente este año, con ataques de alto perfil a empresas como Acer, JBS, Kaseya, Quanta Computer entre otras.
El cierre de REvil, en julio, dejó varias víctimas en situaciones difíciles después de los ataques. Mike Hamilton, ex-CISO de Seattle y ahora CISO de la empresa de combate a ransomware Critical Insight, dijo que una empresa pagó un rescate después del ataque de Kaseya, recibió las llaves de descriptografía, para luego descubrir que no funcionaban.
REvil normalmente ofrece una función help desk, que ayuda a las víctimas a recuperar sus datos.
¿Cómo protegerse de ataques ransomware?
Además del REvil, que posiblemente regresará al ataque en cualquier momento, existen muchísimas otras variantes de ransomware. Por eso, separamos algunos tips para que mantenga seguro su negocio:
- Tenga cuidado con los documentos adjuntos y links en correos electrónicos, especialmente cuando vienen a nombre de bancos, tiendas o autoridades judiciales. El contenido de este tipo de correo electrónico induce a los usuarios que no saben, a clicar en el link o el adjunto;
- Sea precavido al usar redes sociales y servicios de mensajería instantáneas, como Facebook, Instagram, LinkedIn y WhatsApp, por ejemplo. Aunque el mensaje venga de una persona conocida, el dispositivo puede haber sido comprometido enviando el mensaje de forma automática;
- Nunca baje archivos de sitios web sospechosos o considerados no seguros, active los recursos de seguridad y privacidad del navegador;
- Mantenga el sistema operacional y las aplicaciones siempre actualizadas, para disminuir el riesgo de que se aprovechen de alguna vulnerabilidad;
- Utilice una buena solución de antivirus, pagada, de un proveedor confiable y recomendado;
- No se conecte en redes inalámbricas no confiables o redes públicas. Cuando sea necesario, utilice una VPN para realizar las conexiones;
- Haga un backup de sus archivos regularmente, y tenga una copia actualizada off-line. Así podrá recuperarlos en caso de secuestro de datos, pero recuerde que los ataques van evolucionando hacia la exposición de datos, entonces la estrategia de prevención sigue siendo fundamental.
- Diseñe un plan de respuesta adecuado en caso de ocurrir un siniestro, desconecte físicamente los sistemas para minimizar los impactos y evalúe los daños a partir del ambiente off-line;
- Revise políticas de seguridad, herramientas de protección y módulos de los sistemas periódicamente;
- Capacite a los trabajadores con frecuencia, especialmente sobre el uso de computadores, internet, e-mail entre otros. Fortalecer el factor humano es fundamental en una estrategia de seguridad.
Los ransomwares, además de ser peligrosos, pueden dar muchos dolores de cabeza y pérdidas financieras. Es importante mantener sus dispositivos y redes seguras para no acabar siendo objetivo de cibercriminales.
En caso tenga alguna duda, puede entrar en contacto con nosotros, estaremos a disposición para aclaraciones y orientaciones.
Fuente: ZDNet.
This post is also available in: Português Español