Así trabaja REvil, el grupo cibercriminal que ha robado datos a Apple y Acer y exige rescates millonarios

Expertos consultados por ABC destacan que ese incremento, más allá de la hiperconexión y el trabajo en remoto al que obliga la pandemia, y que nos hace más vulnerables, se debe a que los ataques cada vez están más dirigidos contra grandes objetivos . Y uno de los mejores ejemplos de esta tendencia lo representa el grupo cibercriminal ruso REvil , también conocido como Sodinokibi. El mismo que ha conseguido robar información de empresas tan punteras como Acer y Apple en apenas un mes y pedirles rescates de 50 millones de dólares a cambio de no hacer públicos los datos .

«Lleva operando desde 2019. El grupo nace directamente de la escisión de otro», explica a ABC David Sancho, responsable del equipo de investigación de la firma de ciberseguridad Trend Micro. «Normalmente los ciberdelincuentes de este tipo se conocen en foros de Internet, alguien en concreto crea el 'malware' (virus informático) y se rodea de afiliados, que son los encargados de emplearlo para infectar objetivos. Entre ellos se reparten las ganancias que consiguen con los rescates y con la venta de la información robada», completa el experto.

«Entre las variantes de 'ransomware' que existen, REvil es un grupo muy activo y sigue siendo muy visible, especialmente debido a la naturaleza de alto perfil de sus objetivos», destaca a este diario, por su parte, Tristan Reed, experto en ciberseguridad de la empresa Cytomic, filial de WatchGuard.

Durante los últimos meses, el grupo de cibercriminales REvil ha lanzado ataques contra varias empresas estadounidenses y firmas de abogados relacionadas con 'inluencers ' e, incluso, contra el expresidente de Estados Unidos, Donald Trump . «En cuanto a localización, podríamos hablar de un alcance global, aunque parece que últimamente se han focalizado más en Europa, Estados Unidos e India», señala el experto de Cytomic. «Un punto interesante a comentar es que parecen evitar realizar ataques en países como Rusia y otros de su esfera, Hemos podido ver que el malware no actúa cuando detecta que el idioma del sistema es ruso o del CIS (Comunidad de Estados Independientes)», completa.

REvil también estuvo detrás del ciberataque sufrido por Adif , empresa pública administradora de infraestructuras ferroviarias en España, el pasado mes de julio. Entonces los cibercriminales afirmaron que habían conseguido robar un paquete de 800 GB de datos privados. El grupo lo utilizó para chantajear a la empresa y obligarla a pagar un rescate económico a cambio de no publicarlo . Algo habitual en los ataques de 'ransomware' que se están viendo actualmente.

Y es que el objetivo de REvil siempre es económico . No son ciberactivistas ni participan en campañas de ciberguerra . Solo buscan el dinero. Así lo reconoció recientemente uno de sus miembros en una entrevista recogida por 'The Record': «Para mí, personalmente, no hay un límite máximo (de dinero). Me encanta hacerlo y sacar provecho de ello. Nunca hay demasiado dinero, pero siempre existe el riesgo de que no haya suficiente dinero».

«El objetivo del 'ransomware' es estrictamente financiero. Hay dos formas de conseguir el dinero: bien cifrando los ficheros y pidiendo un rescate, o con este nuevo método más novedoso de extorsión, por el que, una vez conseguidos los datos de una compañía, amenazan con hacerlos públicos si no se paga una determinada cuantía, la cual suele ser muy elevada», apunta a este respecto Tristan Reed.

Para hacer el mayor daño posible a sus víctimas, los ciberdelincuentes detrás de REvil realizan un ejercicio de paciencia . A diferencia de las campañas masivas de 'ransomware' del pasado, s e toman su tiempo para golpear a su víctima donde más duele . «Infectan con el código malicioso y luego pueden pasarse meses monitorizando la información y buscando los datos que más afecta a la víctima antes de informar sobre el ataque», explica a ABC el 'hacker' ético y experto en ciberseguridad Deepak Daswani.

«Estos grupos van a gran escala. No atacan a cualquier usuario», destaca por su parte Sancho. «Normalmente se aprovechan de vendedores de acceso, que son los que descubren vulnerabilidades en los sistemas de las compañías y los ofrecen para explotarlos a cambio de un pago a grupos como REvil. Entonces quien adquiere el acceso se mete dentro del sistema y empieza a organizar el ataque moviendose lateralmente por los equipos de la víctima y van buscando los servidores en donde esté almacenada la información que les interesa. Hay casos en los que tienen suficientes datos en media hora y otros en los que son capaces de esperar cinco meses», completa el experto.

Cuando han conseguido la información proceden a cifrarla para que la empresa atacada no cuente con medios para acceder a ella. En el caso de REvil, su código 'ransomware' destaca por su gran capacidad de evasión y el gran número de medidas que toma para evitar ser detectado por los motores antivirus.

Sea como fuere, el lanzar ataques dirigidos contra grandes empresas está permitiendo a REvil pedir unos rescates a cambio de la información muy superiores a los que podrían exigir en caso de afectar a objetivos de menor tamaño. En el caso de Acer y de Quanta Computer, la empresa taiwanesa a la que recientemente han conseguido robar información sobre futuros productos de Apple, de 50 millones de dólares .

A pesar de que todos los expertos en ciberseguridad recomiendan no ceder al chantaje, reconocen que en ocasiones pasar por el aro del ciberdelincuente puede resultar más rentable . «A veces sale más barato pagar lo que te piden a ver expuestos los datos de clientes en la 'dark web' que pagar la multa que pueda poner un regulador público por la filtración de la información», destaca el jefe de investigación de Trend Micro.

En el caso concreto de Apple, al ver la falta de disposición de Quanta a pagar el rescate económico a cambio de recuperar los datos, el grupo REvil ha optado por dirigirse directamente a la empresa de Cupertino para solicitar el pago . Una práctica que se está volviendo habitual en los ataques protagonizados por grupos especializados en 'ransomware'. Lo mismo ocurre con los ciberataques contra compañías que cuentan con datos de otras empresas de mayor tamaño. Porque infectar directamente a empresas como Apple no es especialmente sencillo. Es mejor ir a por la cadena de suministro.

«Lo estamos viendo durante los últimos años. En lugar de atacar a la empresa objetivo, como sería el caso de Apple, intentan afectar a un proveedor con acceso a la información. De tal modo que si entras dentro del proveedor llegas a la empresa objetivo porque tiene una acceso privilegiado a su información», destaca Sancho.