NUEVA YORK (BLOOMBERG) – Patrocinan foros de piratas informáticos para reclutar afiliados, publicitar esquemas de participación en las ganancias y brindar entrevistas sobre sus técnicas.
REvil, el grupo de piratas informáticos vinculado a Rusia que, según la Oficina Federal de Investigaciones de EE. UU., Fue responsable del ciberataque a JBS, el mayor productor de carne del mundo, se ha convertido en uno de los grupos de ransomware más prolíficos y públicos en los últimos años. .
Los piratas informáticos, también conocidos como Sodinokibi, han estado a la vanguardia del modelo de ransomware como servicio de ciberataque desde que el grupo saltó a la fama como amenaza a la seguridad en 2019.
En este modelo, los grupos de piratas informáticos proporcionan malware para que otros lo utilicen en un ataque a cambio de una parte del pago del rescate. Para reclutar talento, REvil depositó $ 1 millón (S $ 1.3 millones) en bitcoins como una forma de darles a los posibles afiliados la tranquilidad de que se les pagaría.
“La audacia es parte de su personalidad”, dijo Allan Liska, analista senior de amenazas de la firma de ciberseguridad Recorded Future.
El ransomware se ha convertido en un problema espinoso para el gobierno de Biden, especialmente después de un ataque el mes pasado al Colonial Pipeline que exprimió el suministro de combustible a lo largo de la costa este. Otros ataques recientes apuntan al Departamento de Policía de Washington, una red de hospitales en California y ahora un importante proveedor de carne.
El ransomware es un tipo de pirateo en el que se cifran los archivos de la computadora de la víctima, dejándolos inutilizables hasta que se pague el rescate.
Algunos grupos de ransomware también roban archivos, lo que proporciona otra vía de extorsión.
REvil mantiene una página en la Dark Web, llamada Happy Blog, donde filtra o subasta los documentos confidenciales de las víctimas como un incentivo adicional para presionarlas para que paguen.
Desde 2017, el ransomware ha llegado a dominar otros ciberataques motivados financieramente en volumen y rentabilidad, dijo Kelli Vanderlee, gerente senior de análisis de Mandiant Threat Intelligence, parte de FireEye.
Si bien los ataques no se limitan a un tipo específico de víctima, los datos disponibles sugieren que afectan de manera desproporcionada al sector manufacturero, dijo Vanderlee.
“Es probable que haya varios factores contribuyentes, incluida la percepción de que los fabricantes pueden pagar más para evitar pérdidas monetarias por una interrupción de la producción”, dijo.
REvil surgió del antiguo grupo GandCrab, una empresa de ransomware como servicio que anunció que cerraría en 2019, según CrowdStrike Holdings, que confirmó que REvil estaba detrás del ataque JBS.
“Estamos teniendo una jubilación bien merecida”, escribió GandCrab, según el blog de ciberseguridad KrebsonSecurity. “Somos la prueba viviente de que se puede hacer daño y salirse con la suya”.
No está claro si los operadores de GandCrab simplemente se cambiaron de nombre con un nuevo nombre, o si los operadores de REvil compraron, o robaron, el código de GandCrab. De todos modos, cuando se cerró GandCrab, REvil ya estaba en marcha como un programa de ransomware más exclusivo, también conocido como Sodin o Sodinokibi.
En mayo de 2019, un representante del grupo, conocido con el sobrenombre de Desconocido, buscó a un pequeño número de socios en foros de piratas informáticos para un nuevo programa de ransomware como servicio.
“Cinco afiliados más pueden unirse al programa y luego estaremos fuera del radar”, según KrebsonSecurity. “Cada afiliado tiene garantizados $ 10,000. Su participación es del 60 por ciento al principio y del 70 por ciento después de que se realizan los primeros tres pagos. Cinco afiliados tienen garantizados ($) 50,000 en total. Hemos estado trabajando durante varios años, específicamente cinco años en este campo. Nos interesan los profesionales “.
El Sr. Jon DiMaggio, estratega jefe de seguridad de Analyst1 con sede en Virginia, dijo: “Anuncian participación en las ganancias y proporcionan infraestructura y ransomware, negociaciones de rescate y distribución de fondos. Manejan todas las transacciones de bitcoins y cosas de esa naturaleza”.
Como muchos de los grupos de ransomware más establecidos, REvil investiga objetivos potenciales para asegurarse de que tengan los medios para pagar, incluida la determinación de si las víctimas están aseguradas contra ataques cibernéticos, dijo.
Un asociado de REvil dijo en una entrevista que apuntar a empresas con ciberseguro era “una de las partes más sabrosas”.
Recorded Future dijo que tiene conocimiento de al menos 237 víctimas de delitos desde 2019.
REvil se atribuyó el mérito de piratear al proveedor de hardware Quanta Computer a principios de este año y, en el proceso, publicó diseños secretos para nuevos dispositivos Apple.
El año pasado, REvil llevó a cabo un ataque de ransomware contra un bufete de abogados que afirmaba representar a algunas de las compañías de televisión del expresidente estadounidense Donald Trump. En 2019, el grupo también atacó a un grupo de funcionarios electorales de Luisiana una semana antes del día de las elecciones.
REvil está tan inmerso en el ámbito del ransomware que sus miembros intervienen regularmente en las discusiones sobre malware en foros de piratas informáticos, según DiMaggio.
También mantienen relaciones directas con otros grupos de ransomware, incluido DarkSide, que está acusado de estar detrás del ataque del mes pasado a Colonial Pipeline, dijo.
Cuando el sitio web DarkSide cayó después del ataque colonial, REvil alertó a la comunidad de hackers sobre esto, dijo DiMaggio, quien ha estudiado durante mucho tiempo las bandas de ciberdelincuentes rusas. “Están muy involucrados. Son los estudiantes de la clase que siempre necesitan levantar la mano. Son muy activos en la comunidad”.
DiMaggio y otros analistas dijeron que los piratas informáticos de REvil se comunican ampliamente en ruso y evitan los objetivos que usan escritura cirílica, el sistema para idiomas de Europa del Este y los estados eslavos. En la entrevista, REvil’s Unknown dijo que el grupo evitó estos países debido a la geopolítica, las leyes y el patriotismo.
El acuerdo también le da al presidente ruso Vladimir Putin una “negación plausible” contra las acusaciones de la Casa Blanca y otros de que Rusia está involucrada en los ataques.
“Todo el modelo de ransomware se ajusta a las tácticas que hemos visto en Rusia a lo largo de los años”, dijo DiMaggio.
El atractivo para los piratas informáticos es potencialmente grandes ganancias con un riesgo mínimo.
“Cuando era niño, revisé los montones de basura y fumaba colillas de cigarrillos”, dijo una persona que decía ser un extraño de REvil en una entrevista de marzo con Recorded Future.
“Llevé la misma ropa durante seis meses. En mi (juventud), en un piso comunitario, estuve dos o tres días sin comer. Ahora soy millonario”.