REvil desaparece tras el secuestro de sus servicios Tor poco después de anunciar su regreso tras un verano de inactividad y el ataque ransomware a Kaseya

Este verano ha sido especialmente fructífero en lo que a ataques ransomware se refiere. Uno de los más graves ha sido el protagonizado por la compañía Kaseya, el cual fue perpetrado por el grupo REvil. Tras llevar a cabo este ciberataque, el grupo de origen ruso desapareció sin dejar rastro durante varios meses; a mediados de septiembre reapareció para, acto seguido, volver a desaparecer. Y esta vez, parece que para siempre según ha revelado un actor de amenazas afiliado a REvil en un conocido foro criminal. El indicador de esta desaparición es que su portal de pago Tor, así como su blog de filtración de datos, han sido secuestrados. Su portal de pago Tor, según informan, habría sido secuestrado y reemplazado con una copia de las claves privadas del grupo, quizás con una anterior a la que tenían actualmente. REvil desaparece tras el secuestro de sus servicios Tor.

Quién está detrás de este movimiento es algo que se desconoce, aunque desde algunos medios apuntan a que podría tratarse del F.B.I. Según informes de The Washington Post, la organización estadounidense llevar detrás de su desmantelamiento desde hace tiempo. Al aparecer, el F.B.I. podría haber obtenido las claves de cifrado del grupo el pasado julio. Evidentemente, no hay confirmación de que haya sido así. Otra hipótesis que se maneja es que haya sido cosa de un antiguo miembro del grupo, concretamente de «Unkn«. Fue portavoz de REvil durante bastante tiempo, aunque no regresó tras el parón de verano. Un mensaje del actor de amenazas en el foro dice que reanudaron el trabajo pensando que él había desaparecido (muerto), pero que la filtración de servicios ocultos y una clave similar a la de REvil podrían ser pistas para dar más veracidad a la hipótesis. Todo apunta a ello.

¿Desaparición definitiva de REvil?

¿Estamos ante la desaparición definitiva de uno de los grupos de ransomware más peligrosos? Por desgracia, es demasiado pronto para «lanzar las campanas al vuelo». Tras el ataque a Kaseya, el grupo de ciberdelincuentes ruso estuvo un par de meses en la sombra, y aquello nos hizo pensar que sus actividades ciberdelictivas habían llegado a su fin. La sorpresa fue mayúscula cuando nos enteramos de que REvil volvía, supuestamente con fuerzas renovadas. Si bien en este caso no parece ser así -tienen dificultades para reclutar gente y ello ha llevado al grupo a aumentar sus comisiones de afiliación- aún es pronto para celebrar nada. Estaremos muy pendientes de cualquier novedad que pueda surgir al respecto, pues estamos ante una de las noticias más relevantes del año en caso de confirmarse. Lamentablemente, aún existen grupo que son igual, o más peligrosos, que REvil.