Los servidores de uno de los grupos de ransomware más peligrosos del año se han vuelto a encender de repente tras dos meses de silencio

Parecía que se había desmantelado, pero los servidores del colectivo que opera uno de los ransomware más peligrosos de este año se han vuelto a encender tras dos meses en silencio.

Así lo ha avanzadoBleeping Computer esta semana. Se trata del mismo medio especializado en ciberseguridad que adelantó cómo los servidores de este grupo de ciberdelincuentes, responsables de un sinfín de ciberataques durante los últimos meses, se habían apagado, llevando a negro su página web en la dark web en la que reivindicaban sus asaltos.

Los criminales informáticos en cuestión son los que operaban el ransomware conocido como REvil o Sodinokibi. Uno de sus últimos ataques afectó a Kaseya, un proveedor de soluciones IT. Con la irrupción de su ataque en ese servicio, REvil tuvo la posibilidad de afectar a cientos de empresas, lo que recordó al incidente que sufrió otra proveedora, SolarWinds, a finales del año pasado.

REvil también es conocida en España por haber sido la responsable de atacar a Adif, la empresa pública que se responsabiliza y despliega la infraestructura ferroviaria del país. Fue uno de los primeros ataques de doble extorsión que afecto a una firma española y llegaron a los medios de comunicación. También reivindicaron un ataque sobre MásMóvil hace apenas unas semanas que la teleco rechazó.

Así reclutan las mafias de ciberdelincuentes: el colectivo REvil deposita cerca de un millón de euros en un foro para demostrar su solvencia para contratar gente

La doble extorsión, de hecho, es un fenómeno al que los ciberdelincuentes de REvil se abonó en seguida. Durante 2020, muchos colectivos de criminales informáticos comenzaron a robar datos durante sus ataques de ransomware. De esta manera, si las víctimas no pagaban por conseguir el antídoto que permitiría descifrar sus equipos, pagarían por evitar sus datos filtrados.

En julio, Bleeping Computer detalló cómo los servidores de REvil se habían apagado y las operaciones que el grupo publicaba en su página web habían dejado de estar accesibles a través de la red Tor, la dark web. 

Precisamente el suceso se hilvanó con el reciente ataque a Kaseya y la postura que ha abordado en los últimos meses el Gobierno de EEUU. Después de un ciberataque que afectó a un oleoducto de una compañía llamada Colonial, el FBI ha comenzado a perseguir con más intensidad a este tipo de grupos mafiosos, que operan desde cualquier parte del mundo.

Lo que ahora se desconoce es a qué obedece que los servidores de REvil se hayan vuelto a encender. El mismo medio elucubra con la posibilidad de que el encendido haya sido cosa de precisamente las fuerzas y cuerpos de seguridad que habrían logrado intervenir las comunicaciones y operativas del colectivo.

Sin embargo, nadie se ha atribuido el desmantelamiento de esta red criminal. El último incidente protagonizado por REvil se reivindicaba el pasado 8 de julio, coincidiendo con el apagón que ha protagonizado este organismo malicioso durante los últimos dos meses.

Aunque los servidores se han vuelto a encender, la plataforma Tor a través de la que los criminales ofrecían a sus víctimas una vía para comunicarse y negociar (y ser extorsionadas) no está todavía del todo operativa. Si se confirma que REvil ha vuelto a las andadas, es una preocupante noticia para la seguridad de la red.