REvil desaparece de la 'dark web' mientras el cibercrimen sigue explotando el ataque contra Kaseya

La desaparición de la infraestructura en línea del grupo llega apenas unos días después de que el presidente de Estados Unidos, Joe Biden , le pidiese explicaciones a su homólogo ruso, Vladimir Putin , acerca de la inacción del país a la hora de controlar los ciberataques que se lanzan desde su territorio. «Le dejé muy claro que Estados Unidos espera que, cuando una operación de 'ransomware' provenga de su suelo, aunque no esté patrocinada por el estado, esperamos que actúen si les damos suficiente información sobre quien lo realiza», explicó Biden el pasado viernes en una comparecencia ante los medios de la que se hizo eco ' Reuters '.

La posibilidad de que desde Estados Unidos se haya realizado alguna acción policial que haya desencadenado en la desaparición de REvil de la 'dark web' flota en el ambiente; aunque, por el momento, el Gobierno no ha hecho ninguna manifestación al respecto . Asimismo, hay que tener en cuenta que esta no sería la primera vez que una banda cibercriminal decide alejarse de la Red después de lanzar un ataque de las proporciones del que sufrió Kaseya. Más si tenemos en cuenta que la banda ya estuvo detrás de una acción contra JBS , una de las principales empresas cárnicas de Estados Unidos, hace algo más de un mes. Y es que l a publicidad de más no es buena para el negocio del cibercrimen .

«Llamar tanto la atención, viendo como está la situación en política internacional, no es buena idea. Esta gente, al final, lo que quiere es dinero. No que se aumenten los recursos para ir contra ellos», destaca Albors.

Así lo demuestran casos como el del ciberataque realizado por el grupo cibercriminal DarkSide el pasado mayo contra Colonial Pipeline, uno de los principales oleoductos de Estados Unidos. La visibilidad que tuvo la acción, que dificultó el suministro de combustible en la Costa Este del país durante días, obligó a la propia banda a pedir disculpas a los afectados a través de un comunicado en el que, además, se comprometió a revisar en adelante el uso que se le iba a dar a su software malicioso antes de cedérselo a terceros. Y es que, al igual que DarkSide, REvil es un ' ransomware as a service ', esto implica que los desarrolladores del código se lo alquilan a sus afiliados para que lo utilicen en los ataques. Normalmente, los creadores, que se llevan un pellizco que suele moverse en torno al 30% del rescate conseguido, no tienen ningún control sobre el uso final que se le da a su 'ransomware'.

«Los afiliados a veces meten la pata y atacan a quien no deberían llamando demasiado la atención, como ha ocurrido con los casos de Kaseya y de Colonial Pipeline», apunta el jefe de investigación de ESET. Precisamente, la posibilidad de que REvil haya abandonado Internet para dejar de estar debajo de la lupa es «la más probable», según explica Eusebio Nieva, director técnico de la firma de ciberseguridad Check Point, en un comunicado remitido a este diario.

Sea como fuere, la desaparición de REvil en la 'dark web' no supone, en absoluto, la escisión del grupo. La banda fue creada en 2019 y cuenta en sus filas con desarrolladores veteranos procedentes de otras organizaciones. Según explica Albors, nada les impediría cambiar de nombre otra vez y arrancar un nuevo negocio delictivo en la Red. Asimismo reconoce que la exposición que ha tenido el caso de Kaseya, que incluso ha afectado a empresas españolas, podría motivar que el grupo de cibercriminales, finalmente, liberase el software de descifrado que permitiría a las compañías víctima solventar la incidencia .

«La caída dificulta la comunicación directa con las víctimas para negociar el rescate, es posible que estos los dejen colgados. Aunque siempre se recomienda no pagar, al final hay empresas a las que no les queda otra. También es probable que entreguen de forma gratuita el software descifrador para dejar de llamar la atención», apunta el experto.

De acuerdo con una reciente investigación de ESET, el ataque sufrido por Kaseya está siendo empleado actualmente por otros grupos de cibercriminales como gancho en el envío de correos maliciosos. En los mensajes se puede observar que, tanto en el asunto como en el cuerpo, los delincuentes mencionan el reciente incidente de seguridad provocado por la vulnerabilidad en Kaseya VSA y proporcionan un enlace para descargar una supuesta actualización. El enlace parece ser correcto a primera vista, pero, en realidad, redirige al usuario a la descarga de Cobalt Strike, una herramienta legítima que se utiliza en tests de intrusión, pero que también es empleada por los delincuentes para conseguir acceso remoto a sistemas comprometidos .

Según la investigación de la firma de ciberseguridad, en alguna de estas campañas España ha sido el país con una mayor tasa de detección de correos maliciosos con un 14.9% del total, frente a otros como Estados Unidos (12%), Canadá (9.2%), Turquía y Reino Unido (ambas con un 7.2%). El mayor número de muestras detectadas en estas campañas de correos maliciosos no tiene por qué coincidir con el número de víctimas afectadas por el 'ransomware' REvil en cada país, pero resulta interesante comprobar cómo España ha estado a la cabeza a la hora de detectar algunas de las muestras relacionadas con este envío de correos.