El cierre de REvil les daría a Putin y Biden la oportunidad de demostrar que estaban enfrentando el problema, pero también podría darles a los actores de ransomware la oportunidad de irse con sus ganancias

Apenas unos días después de que el presidente Joe Biden exigiera que el presidente Vladimir Putin de Rusia cerrara los grupos de ransomware que atacaban a objetivos estadounidenses. El martes por la mañana, el más agresivo de los grupos se desconectó repentinamente. Aun no se sabe con certeza quién los inhabilitó. O si fueron ellos quienes se fueron por su propio pie.

El grupo, llamado REvil, abreviatura de «Ransomware evil». Ha sido identificado por las agencias de inteligencia estadounidenses como responsable del ataque a uno de los productores de carne más grandes de Estados Unidos, JBS. Dos semanas después de que Biden y Putin se reunieran en Ginebra el mes pasado. REvil se atribuyó el mérito de un ataque que afectó a miles de empresas en todo el mundo durante las vacaciones del 4 de julio.

Ese último ataque llevó al ultimátum de Biden en una llamada telefónica el viernes al presidente ruso. Más tarde, Biden dijo que «esperamos que actúen«. Y cuando un periodista le preguntó más tarde si eliminaría los servidores del grupo si Putin no lo hacía, el presidente simplemente dijo: «Sí». Una de las hipótesis es que haya hecho exactamente eso. Pero esa es solo una posible explicación de lo que sucedió alrededor de la 1 a.m., el martes en Rusia, cuando los sitios del grupo en la web oscura desaparecieron repentinamente.

Atrás quedó el «blog feliz» disponible públicamente que mantenía el grupo. Que enumeraba algunas de sus víctimas y las ganancias del grupo de sus esquemas de extorsión digital. Los grupos de seguridad de Internet dijeron que los sitios hechos a la medida, piense en ellos como salas de conferencias virtuales, donde las víctimas negociaban con REvil sobre cuánto rescate pagarían para desbloquear sus datos. También desaparecieron. También lo hizo la infraestructura para realizar pagos.

¿Por qué REvil ha desaparecido repentinamente?

Si bien la desaparición de la presencia en línea de los piratas informáticos fue celebrada por muchos que ven el ransomware como un nuevo flagelo. Uno que Biden ha llamado una amenaza crítica para la seguridad nacional, dejó a algunos de los objetivos del grupo en la estacada. Incapaces de pagar el rescate para intentar recuperar los datos y hacer que sus negocios vuelvan a funcionar.

Había tres teorías principales sobre por qué REvil, que parecía deleitarse con la publicidad y cosechó enormes rescates, incluidos 11 millones de dólares de JBS, desapareció repentinamente.

Una es que Biden ordenó al Comando Cibernético de los EE. UU., Que trabaja con las agencias de aplicación de la ley nacionales, incluido el FBI, que derribara los sitios del grupo. Cyber Command demostró el año pasado que podía hacer precisamente eso, paralizando a un grupo de ransomware que temía que pudiera convertir sus habilidades en congelar los registros de votantes u otros datos electorales en las elecciones de 2020.

La segunda teoría es que Putin ordenó que se retiraran los sitios del grupo. De ser así, sería un gesto para prestar atención a la advertencia de Biden. Que también había transmitido cuando los dos líderes se reunieron el 16 de junio en Ginebra. Y llegaría solo uno o dos días antes de que se suponga que un grupo de trabajo entre Estados Unidos y Rusia sobre el tema, establecido durante la reunión de Ginebra, celebre una reunión virtual.

Una tercera teoría es que REvil decidió que el calor era demasiado intenso y derribó los sitios para evitar quedar atrapado en el fuego cruzado entre los presidentes de Estados Unidos y Rusia. Eso es lo que hizo otro grupo con sede en Rusia, DarkSide. Después del ataque de ransomware a Colonial Pipeline.

Opinión de los expertos

Muchos expertos piensan que el movimiento de quiebra de DarkSide no fue más que un teatro digital. Y que todos los talentos clave del ransomware del grupo se reunirán con un nombre diferente. Si es así, lo mismo podría suceder con REvil. Recorded Future, una firma de ciberseguridad de Massachusetts, estima que este grupo ruso ha sido responsable de aproximadamente una cuarta parte de todos los sofisticados ataques de ransomware contra objetivos occidentales.

Allan Liska, un analista de inteligencia senior de Recorded Future, dijo que si REvil ha desaparecido, dudaba que fuera voluntario. «En todo caso, estos muchachos son fanfarrones», dijo Lisca. “Y no vimos ninguna nota, ningún alarde. Seguro que se siente como si hubieran abandonado todo bajo presión«.

Hubo sugerencias de que la presión pudo haber venido de Rusia. No se esperaba que el comandante del Comando Cibernético de EE. UU. Y director de la Agencia de Seguridad Nacional, el general Paul Nakasone, tuviera todas las opciones para la acción de EE. UU. Contra los actores del ransomware hasta finales de esta semana, dijeron varios funcionarios. Y no había evidencia de que los sitios de REvil hubieran sido «confiscados» por una orden judicial, que el Departamento de Justicia publica con frecuencia.