Uno de los ransomware más peligrosos de los últimos meses se desvanece misteriosamente de la red: sus páginas están caídas y estas son las posibles causas

REvil es el nombre que recibe uno de los ransomware más peligrosos de los últimos meses. Sus actividades contra compañías en España han sido varias. Fueron los responsables de atacar a Adif y filtrar decenas de gigas en datos confidenciales de la empresa pública el año pasado. Hace unas semanas reivindicaron el robo de bases de datos de MásMóvil, algo que la operadora desdeñó.

Hace menos días REvil protagonizó uno de los incidentes más graves en la historia de la ciberseguridad: lograron comprometer la cadena de suministro a través de un proveedor TI llamado Kaseya con más de 40.000 clientes, algunos de ellos en España. Por ahora, lo que se sabe del incidente es que más de 1.000 empresas se vieron afectadas.

Cómo se ha producido, qué implicaciones tiene y por qué es solo el principio: todo lo que se sabe sobre el ciberataque a Kaseya que ya afecta a más de 1.000 empresas en todo el mundo

Sin embargo, varios especialistas en seguridad informática abundan desde hace unas horas sobre cómo la presencia en internet del colectivo que opera este ransomware se ha desvanecido.

REvil es un ransomware as a service. Un colectivo de desarrolladores ha creado y opera esta herramienta informática, que como todas las de su naturaleza, tiene por objetivo cifrar los sistemas y redes informáticas de sus víctimas para solicitar un rescate económico si estas quieren recobrar la normalidad.

Desde el año pasado, los operadores de REvil también han empezado a robar información durante sus asaltos, con objeto de tener más ases en la manga con los que extorsionar: las víctimas se suelen ver obligadas a pagar estos rescates no solo para recobrar la normalidad en sus sistemas, sino también para evitar que datos confidenciales de empleados o clientes se filtren a la red.

Muchos de estos colectivos de ciberdelincuentes mantienen en la dark net sencillas páginas que utilizan para reivindicar sus fechorías. La web que operan los criminales de REvil se llama Happy Blog. Precisamente, por tratarse de un ransomware como servicio, nunca se atina a saber quién es el perpetrador original. Los desarrolladores de REvil actúan como mercenario: atacan bajo encargo.

Una web recopila cuánto se está pagando en rescates por ransomware: los cálculos preliminares parten de 28 millones de euros en lo que va de 2021

Sin embargo, la página web de REvil en la dark net estuvo fuera de servicio durante buena parte de la tarde de este martes, tal y como recoge Bleeping Computeren este artículo. Algunos especialistas han advertido que sus perfiles en foros de hacking también han sido vetados. Unknown, el nombre de usuario que ejerce de portavoz en uno de estos populares foros, ha sido eliminado del sitio web.

Los especialistas inciden en que toda la actividad cibernética del grupo ha desaparecido solo unos días después de que el presidente de EEUU, Joe Biden, lanzase una advertencia a su homólogo ruso, Vladimir Putin, a quien le exigió que actuase de una vez contra los colectivos de ciberdelincuentes que operan los ransomware contra objetivos estadounidenses.

Sin embargo, otros expertos como Kevin Beaumont advertían en redes sociales hace unas horas que puede ser una circunstancia habitual. A menudo, grupos de criminales informáticos como este desaparecen y reaparecen de la red y no siempre hay detrás una implicación de las autoridades policiales: la respuesta puede ser tan sencilla como que dos de los delincuentes que dirigen la banda hayan discutido, explicaba.