{"id":17486,"date":"2021-12-06T08:52:54","date_gmt":"2021-12-06T11:52:54","guid":{"rendered":"https:\/\/ostec.blog\/?p=17486"},"modified":"2021-12-06T08:52:54","modified_gmt":"2021-12-06T11:52:54","slug":"grupo-de-ransomware-revil-esta-de-vuelta","status":"publish","type":"post","link":"https:\/\/ostec.blog\/es\/generico\/grupo-de-ransomware-revil-esta-de-vuelta\/","title":{"rendered":"Grupo de ransomware REvil est\u00e1 de vuelta"},"content":{"rendered":"

Los operadores del ransomware REvil, grupo de origen ruso que se especializ\u00f3 en ataques ransomware a gran escala, ha reaparecido tras el supuesto cese de sus actividades tras el ataque a Kaseya<\/a>, el 4 de julio. <\/p>\n

Algunos blogs y perfiles conectados a REvil<\/a>, que estaban desde hace 2 meses fuera del aire o sin actualizaciones, volvieron a dar se\u00f1ales de vida. Uno de esos dominios es el sitio web que hospedaba los filtros de datos del equipo, Happy Blog<\/em>, que est\u00e1 de nuevo al aire, aunque la \u00faltima publicaci\u00f3n fue el 13 de julio de 2021. <\/p>\n

Investigadores de seguridad cibern\u00e9tica da Recorded Future<\/a> y Emsisoft <\/a>confirmaron que gran parte de la infraestructura del grupo estaba online de nuevo. <\/p>\n

Allan Liska, especialista en ransomware<\/a>, le dijo al sitio web ZDNet que la mayor\u00eda de las personas esperaba que REvil regresara, pero con un nombre diferente y una nueva variante de ransomware.<\/p>\n

Seg\u00fan Liska: <\/p>\n

\u201cLas cosas definitivamente se les puso color de hormiga por un tiempo, y tuvieron que esperar a que bajara la marea y las investigaciones se enfriaran. El problema es que si ellos de verdad son el mismo grupo, utilizando la misma infraestructura, estar\u00e1n en la mira de literalmente todas las autoridades de los pa\u00edses donde el grupo actu\u00f3 los \u00faltimos meses (excepto Rusia)\u201d.<\/p><\/blockquote>\n

Grupo de \u00e9xito<\/h2>\n

El mes pasado, un informe de la empresa de seguridad BlackFog<\/a>, que habla sobre ataques de ransomware, descubri\u00f3 que el REvil fue responsable por m\u00e1s de 23% de los ataques rastreados en julio, eso fue m\u00e1s que cualquier otro grupo rastreado en el informado. <\/p>\n

Seg\u00fan el CEO de BlackFog, Darren Willians, los datos muestran que REvil es una de las variantes de ransomware de mayor \u00e9xito en el 2021 y que no sorprende que el grupo haya reiniciado sus actividades debido a su anterior \u00e9xito. <\/p>\n

Willians dice:<\/p>\n

\u201cHay una demanda claramente reprimida por las t\u00e9cnicas y base de c\u00f3digo del grupo. El nivel de presi\u00f3n aplicado por el presidente de EEUU y la discusi\u00f3n de alto nivel con Put\u00edn est\u00e1n correlacionadas al momento de pausa de actividades del grupo. <\/p>\n

Por lo general, la red global de invasores que utilizan la tecnolog\u00eda del grupo REvil est\u00e1n en un nivel superior a los dem\u00e1s cibercriminales. El \u00e9xito de esos ataques recientes y el tama\u00f1o y volumen absolutos generaron indirectamente a\u00fan m\u00e1s inter\u00e9s de parte de los invasores que licencian la tecnolog\u00eda. Si funciona, entonces claramente m\u00e1s invasores aprovechar\u00e1n tal tecnolog\u00eda hasta que algo mejor aparezca. El desaf\u00edo para los proveedores de seguridad cibern\u00e9tica es evitar esos ataques usando tecnolog\u00edas m\u00e1s recientes, como la exfiltraci\u00f3n de dados\u201d.<\/p><\/blockquote>\n

El curr\u00edculo<\/h2>\n

Seg\u00fan el analista de amenazas de Emsisoft, Brett Callow<\/a>, el grupo REvil atac\u00f3 por lo menos 360 organizaciones con sede en los Estados Unidos este a\u00f1o. <\/p>\n

El sitio web de investigaci\u00f3n RansomWhere dice que el grupo recaud\u00f3 m\u00e1s de U$ 11 millones<\/a> solamente este a\u00f1o, con ataques de alto perfil a empresas como Acer, JBS, Kaseya, Quanta Computer entre otras. <\/p>\n

El cierre de REvil, en julio, dej\u00f3 varias v\u00edctimas en situaciones dif\u00edciles despu\u00e9s de los ataques. Mike Hamilton, ex-CISO de Seattle y ahora CISO de la empresa de combate a ransomware Critical Insight, dijo que una empresa pag\u00f3 un rescate despu\u00e9s del ataque de Kaseya, recibi\u00f3 las llaves de descriptograf\u00eda, para luego descubrir que no funcionaban. <\/p>\n

REvil normalmente ofrece una funci\u00f3n help desk, que ayuda a las v\u00edctimas a recuperar sus datos. <\/p>\n

\u00bfC\u00f3mo protegerse de ataques ransomware?<\/h2>\n

Adem\u00e1s del REvil, que posiblemente regresar\u00e1 al ataque en cualquier momento, existen much\u00edsimas otras variantes de ransomware. Por eso, separamos algunos tips para que mantenga seguro su negocio:<\/p>\n