Seguridad

El REvil Takedown de Rusia prepara el escenario para varios escenarios

Las autoridades rusas informaron el viernes que cerraron las operaciones de ransomware REvil y arrestaron a una docena o más de pandilleros.

El Servicio Federal de Seguridad (FSB) de la Federación Rusa dijo que cerró la banda de ransomware REvil después de que las autoridades estadounidenses informaran sobre el líder.

La policía rusa realizó redadas en 25 domicilios propiedad de 14 presuntos pandilleros ubicados en las regiones de Moscú, San Petersburgo, Leningrado y Lipetsk, según el comunicado de prensa de la agencia de seguridad rusa.

Según se informa, las autoridades incautaron más de 426 millones de rublos rusos, más 600 000 dólares estadounidenses y 500 000 euros en efectivo, junto con billeteras de criptomonedas, computadoras y 20 autos caros.

El FSB es la agencia de inteligencia interna de Rusia. Realizó su operación a pedido de las autoridades estadounidenses, a las que se les notificaron sus resultados, según el comunicado de prensa.

El grupo REvil es una pandilla de ransomware muy conocida que ha causado estragos en muchas organizaciones de todo el mundo, señaló Joseph Carson, científico jefe de seguridad y CISO asesor de Thycotic. Por lo tanto, no es sorprendente que sean un objetivo.

“Muchos piratas informáticos en todo el mundo están utilizando sus habilidades para el bien, y esto incluye a los piratas informáticos del gobierno que trabajan enérgicamente para defender a la sociedad del delito cibernético. Por lo tanto, apuntar a REvil probablemente será una declaración de que los gobiernos trabajarán juntos para detener a los ciberdelincuentes en la fuente”, dijo a TechNewsWorld.

Capturar y confiscar detalles

El grupo había “dejado de existir”, según declaraciones del FSB. La agencia señaló que actuó luego de recibir información sobre el grupo REvil de EE. UU.

La redada sigue a las repetidas solicitudes de las autoridades estadounidenses durante el verano para tomar medidas contra el ecosistema cibernético clandestino ruso. Presumiblemente en respuesta, la pandilla REvil cerró sus actividades en julio, pero reanudó sus operaciones en septiembre antes de que las autoridades estadounidenses confiscaran algunos de sus servidores web oscuros.

Además de los arrestos informados en Rusia, otros siete miembros de la pandilla REvil también fueron arrestados a lo largo de 2021. Esos arrestos siguieron a operaciones coordinadas por el FBI y Europol.

“Los miembros detenidos fueron acusados ​​de cometer delitos en virtud de la Parte 2 del art. 187 ‘Circulación ilegal de medios de pago’ del Código Penal de Rusia”, dijo el FSB en su comunicado de prensa.

La pandilla REvil cometió dos infracciones legales importantes, según la agencia de noticias rusa TASS. Los ciberdelincuentes desarrollaron software malicioso y organizaron el robo de dinero de las cuentas bancarias de ciudadanos extranjeros.

Pocas identificaciones liberadas

Las autoridades rusas inicialmente no identificaron a ninguno de los sospechosos detenidos. Más tarde, sin embargo, el medio de comunicación ruso RBC nombró a un sospechoso como Roman Muromsky, y TASS identificó a un segundo miembro como Andrei Bessonov.

La agencia de noticias nacional rusa RIA Novosti publicó imágenes de video de algunas de las redadas.

https://www.youtube.com/watch?v=Rj4f-8ayq-Q

No es probable que los sospechosos enfrenten cargos en EE. UU. El gobierno ruso no tiene un mecanismo legal para extraditar a sus propios ciudadanos, sugirieron algunos informes.

Los funcionarios rusos informaron a los representantes estadounidenses sobre los resultados de la operación, según el FSB. La agencia describió el evento como una rara colaboración con las autoridades estadounidenses.

Rusia actúa en cualquier informe de ciberdelincuencia, especialmente ransomware, es especialmente raro, observó John Bambenek, principal cazador de amenazas en Netenrich. A menos que implique explotación infantil o chechenos, la cooperación con el FSB simplemente no sucede.

“Es dudoso que esto represente un cambio importante en la postura de Rusia hacia la actividad criminal dentro de sus fronteras… Si esta vez en tres meses no hay otro arresto importante, es seguro asumir que no ha ocurrido un cambio real con el enfoque de Rusia”, dijo. TechNewsWorld.

“Sin embargo, es un gran arresto y tendrá un impacto significativo a corto plazo para reducir el ransomware”, agregó.

Parte de un patrón

Las técnicas tradicionales de ransomware no necesitaban ser avanzadas para ser efectivas, según Adam Gavish, cofundador y director ejecutivo de DoControl. Es un proceso simple de enjuague y repetición.

“El elemento humano sigue siendo un problema importante. La gente comete errores. Pueden convertirse fácilmente en objeto de una campaña de ingeniería social, lo que aumenta la probabilidad de que el empleado haga clic en un correo electrónico de phishing. Su punto final se ve comprometido, el código malicioso se replica y se propaga a través del estado de TI. Simple”, dijo a TechNewsWorld al explicar por qué los ataques de ransomware tienen éxito.

Con el aumento de la adopción de la nube, los atacantes han puesto las aplicaciones SaaS en el punto de mira, agregó. Armar las muchas vulnerabilidades que existen con las aplicaciones SaaS es la siguiente fase de los ataques avanzados de Ransomware. Los atacantes reconocen que las joyas de la corona de una empresa, sus datos, se almacenan, manipulan y comparten en estas aplicaciones comerciales críticas alojadas en la nube.

“Al igual que con la nube, asegurar SaaS es una responsabilidad compartida entre el proveedor y el consumidor del servicio”, agregó Gavish.

Las empresas modernas tienen la obligación de proteger mejor los archivos y datos dentro de SaaS a través de un enfoque de defensa en profundidad, sugirió. Si un punto final se ve comprometido, debe haber una manera de evitar que los empleados o colaboradores externos accedan a los archivos maliciosos.

armónicos internacionales

El diálogo específico entre Estados Unidos y Rusia sobre esta operación sigue sin estar claro. Pero la confirmación del FSB podría representar un mensaje indirecto que destaca que las autoridades rusas pueden usarse para detener la actividad de ransomware, pero solo bajo ciertas circunstancias, sugirió Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows.

“La operación policial coincidió con varios ataques de desfiguración que se llevaron a cabo contra sitios web del gobierno ucraniano. Todavía no se han atribuido públicamente con confianza, pero se sospecha ampliamente que fueron realizados por actores de amenazas alineados con Rusia”, dijo a TechNewsWorld.

Es probable que los arrestos contra los miembros de REvil tuvieran motivaciones políticas, con Rusia buscando usar el evento como palanca, señaló Morgan. Esto puede estar relacionado con las sanciones contra Rusia propuestas recientemente en los EE. UU., o la situación en desarrollo en la frontera de Ucrania, ofreció.

Motivos ocultos

El FSB apuntó a REvil, que no ha estado públicamente activo en la realización de ataques desde octubre de 2021, también es significativo, continuó Morgan. La charla en los foros de ciberdelincuentes rusos identificó este sentimiento, lo que sugiere que REvil eran «peones en un gran juego político», dijo.

Otro participante del foro sugirió que Rusia hizo los arrestos deliberadamente para que Estados Unidos se calmara, agregó Morgan. Es posible que el FSB allanara a REvil sabiendo que el grupo ocupaba un lugar destacado en la lista de prioridades de los EE. UU., mientras consideraba que su eliminación tendría un pequeño impacto en el panorama actual del ransomware.

Al hablar sobre el foro de ciberdelincuentes, Morgan reiteró que estos arrestos también podrían haber tenido un propósito secundario. Por ejemplo, podrían ser una advertencia para otros grupos de ransomware.

“REvil fue noticia internacional el año pasado al apuntar a organizaciones como JBS y Kaseya, que fueron ataques de alto perfil e impacto. Algunos podrían interpretar una serie de redadas muy públicas como un mensaje para tener en cuenta sus objetivos”, dijo.

LEER  28 millones de registros expuestos en violación de datos de seguridad biométrica

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba