Acceden a la clave maestra para descifrar los sistemas de todas las víctimas afectadas por uno de los ransomware más peligrosos de los últimos años

Una firma especializada en antivirus y en ciberseguridad, Bitdefender, ha publicado la contraseña maestra con la que las víctimas de un ransomware muy peligroso cuya actividad se interrumpió hace unas semanas podrán descifrar sus equipos.

El ransomware es un tipo de ataque informático en el que los agentes maliciosos introducen mediante diversos métodos un código dañino en la red de sus víctimas. Una vez activan dicho código, los archivos y dispositivos del objetivo empiezan a cifrarse. Después, la víctima recibe un aviso de quienes han 'secuestrado' sus datos, exigiendo el pago de un rescate a cambio de una contraseña.

Una contraseña que serviría para descifrar los equipos y que los sistemas recobren la normalidad. En este caso en concreto, la clave maestra sirve para descifrar a todas las víctimas que sufrieron la irrupción de un ransomware que ha vivido un intenso auge desde que estalló la crisis sanitaria del coronavirus, y que se conoce como REvil o Sodinokibi.

Precisamente los operadores que desarrollaron este ransomware comenzaron un período de letargo a principios de verano, cuando especialistas en seguridad informática detectaron (e informaron, en el caso del medio especializado BleepingComputer) que los servidores que operaba este grupo de criminales se habían apagado.

La comunidad comenzó entonces a sospechar que el colectivo de criminales o bien se había retirado después de reunir un jugoso botín, o bien se había visto forzado a detener sus operaciones por la presión de las autoridades policiales.

La respuesta no está clara. Más que una desaparición, fue una interrupción. REvil ha vuelto a anunciar ataques informáticos.

Así reclutan las mafias de ciberdelincuentes: el colectivo REvil deposita cerca de un millón de euros en un foro para demostrar su solvencia para contratar gente

El colectivo ya había reivindicado intrusiones en su propio portal en la dark web sobre un sinfín de compañías, entre ellas la teleco española MásMóvil. La operadora reconoció un intento de penetración a sus servidores, pero aseguró que no se habían visto comprometidos ni sus datos ni su operativa.

REvil también es conocida por haber atacado a un bufete de abogados estadounidense entre cuya clientela figuraban celebridades como Madonna o el expresidente Donald Trump, o incluso contra la empresa pública ferroviaria Adif. En ambos casos el colectivo presionó a sus víctimas con filtrar e incluso subastar datos confidenciales que habían robado durante el ataque.

De esta manera, REvil se convirtió en un grupo de criminales informáticos que comenzó a explotar un fenómeno que se conoce como doble extorsión: además de chantajear a sus víctimas para que paguen si quieren descifrar sus archivos, tendrán que pagar si no quieren ver cómo sus datos confidenciales se filtran por la red.

Aquí puedes descargar el descifrador

Sin embargo, el silencio de los servidores de REvil terminó pronto. Hace unos días, BleepingComputer volvió a informar. Esta vez los servidores se habían vuelto a encender.

Ahora el mismo medio detalla cómo Bitdefender, una firma que desarrolla antivirus y protección de equipos para empresas, ha ofrecido una clave maestra para todas aquellas compañías que fueron víctimas de REvil antes del 13 de julio. No han podido dar detalles sobre cómo han conseguido esta contraseña, lo que sugiere que detrás hay un cuerpo policial.

"Hemos recibido la clave de un grupo policial en el que confiamos y, desafortunadamente, esta es la única información que podemos compartir ahora mismo", ha detallado el director de Análisis de Amenazas de Bitdefender, Bogdan Botezatu. "Una vez la investigación prospere y termine, podremos compartir más detalles".

El archivo que puede desinfectar los equipos afectados por REvil se puede descargar desde la propia web de Bitdefender. 

Lo sorprendente es que esta interrupción de REvil sucedió pocas semanas después de que su ransomware lograse penetrar en los sistemas de Kaseya, un proveedor de servicios informáticos, con lo que encriptaron los archivos de más de 1.500 empresas en todo el mundo. Poco después Kaseya recibió misteriosamente una contraseña para descifrar el entuerto.