REvil es un grupo de Delincuencia Organizada Transnacional, DOT, con un nodo central que desarrolla el ransomware y afiliados que contratan o compran el programa. Este modelo es conocido como “Ransomware as Service” (RaaS). Ha sido responsable de un 33% de los ataques de este tipo en el mundo en 2021. Actúan por motivos netamente económicos, manteniéndose lejos de la política. Han evolucionado para eludir las técnicas de evasión y defensa (DET) de los sistemas de ciberseguridad, utilizando los privilegios del administrador, efectuando movimientos laterales, escondiendo el tráfico malévolo y combinando los instrumentos estándar con técnicas ad-hoc; todo lo cual dificulta la detección del ataque. Cuando sus exigencias no son satisfechas, pueden llegar a ocasionar graves daños tecnológicos, financieros y reputacionales a sus víctimas. REvil ha sustraído datos a empresas importantes como Apple, Acer y Garmin, entre muchas otras, a cambio de rescates multimillonarios. Recientemente realizó tres ataques de gran magnitud en los Estados Unidos que hicieron elevar el nivel de alerta contra este grupo de cibercriminales; hoy equiparables en peligrosidad a un grupo terrorista.

El grupo REvil, nombre que nace de la unión de “Ransomware” y “Evil”, también conocido como grupo Sodinkibi, Bluebackground o Sodin, es una organización de hackers criminales que lleva activa desde el año 2019. Sobre la ubicación exacta hay solo conjeturas, sin embargo su huella digital conduce a Rusia y se calcula que podría tener al menos unos 60 afiliados en todo el mundo. Tampoco se tiene certeza sobre la identidad de sus integrantes

REvil es un grupo de Delincuencia Organizada Transnacional, DOT, que funciona como un cartel, con un nodo central que desarrolla el ransomware, y afiliados que contratan o compran el programa y son los encargados de infiltrarlos en las empresas. Por cada operación exitosa, REvil cobra una comisión del 30%. Este modelo es conocido como “Ransomware as Service” (RaaS).

Según Camille Jackson, líder de estrategia de ciberseguridad de IBM, la organización REvil ha sido responsable de un 33% de los ataques con ransomware cometidos este año en el mundo.[1]

El pasado año 2020 REvil habría conseguido ganar unos US$ 123 millones.

El pasado año 2020 REvil habría conseguido ganar unos US$ 123 millones. Esta cifra que será ampliamente superada en 2021, pues el grupo está apuntando a empresas mucho más grandes y esta exigiendo rescates más costosos, como en el caso de Kaseya, cuyo rescate alcanza los US$ 70 millones.

Algunos expertos en ciberseguridad sospechan que REvil podría ser una rama de un grupo de cibercriminales que anteriormente también fue muy conocido: GandCrab, ya que se activó por primera vez directamente después del cierre de este último. Además, ambos ransomware comparten una cantidad significativa del código fuente, si bien el de Revil no es un código abierto; tienen un funcionamiento similar, el mismo modelo de actualización y versionado, así como vectores de propagación casi idénticos.[2]

Para infectar los sistemas, REvil recurre a diferentes técnicas de ofuscación, principalmente basadas en criptografía, para dificultar el análisis e identificación de sus firmas por parte de los programas de ciberseguridad, como antivirus o sistemas de detección de intrusión (IDS), esta característica lo hace extremadamente peligroso ya que pasa desapercibido ante los controles de este tipo.[3]

 

Modus Operandi

 

Su modo de operar los distingue. A través de ataques silenciosos (stealth), son capaces de anidarse por meses entre las pliegas de las vulnerabilidades del sistema, para observar y analizar una ingente cantidad de datos hasta conseguir aquellos mas sensibles.

Una vez individuada la información de interés, REvil ataca encriptado al mismo tiempo todos los servidores operacionales y de backup, a fin de demostrar su presencia ante la víctima y exigir a cambio un rescate, para no divulgar la información a las autoridades o subastar los datos en la darkweb, arruinando así la reputación de la empresa.

REvil ataca encriptado al mismo tiempo todos los servidores operacionales y de backup

Ataque Ramsonware

Actúan por motivos netamente económicos, manteniéndose lejos de la política. En ocasiones reclutan “agentes” que implanten su ransomware a cambio de una parte del dinero del rescate. Son selectivos, adaptables y sigilosos, utilizan enfoques que ya han sido probados y perfeccionados.

REvil también comercializa su código malicioso en la darkweb, especialmente el malware Sodinkibi que puede conseguirse por distintas vías y que ha sido utilizado por numerosos atacantes ransomware contra empresas asiáticas. Sin embargo, en muchos casos esos hackers con el malware “alquilado” a REvil, no han cumplido su promesa de restitución de los sistemas de la víctima luego del pago del rescate, pues probablemente ni siquiera disponían de las claves de recuperación de REvil.

A medida que las empresas han mejorado la seguridad informática y la arquitectura de la red, los grupos criminales han evolucionado para eludir las técnicas de evasión y defensa (DET), utilizando los privilegios del administrador, efectuando movimientos laterales, escondiendo el tráfico malévolo y combinando los instrumentos estándar con técnicas ad-hoc. Todo lo cual dificulta la detección del ataque.[4]

Cuando sus exigencias no son satisfechas, pueden llegar a ocasionar graves daños tecnológicos, financieros y reputacionales a sus víctimas.

Cuando sus exigencias no son satisfechas, pueden llegar a ocasionar graves daños tecnológicos, financieros y reputacionales a sus víctimas, como ocurrió con la entidad pública que gestiona la red de trenes de España, ADIF (Administrador de Infraestructuras Ferroviarias), en julio de 2020 cuando recibió un ataque ransomware por parte de REvil.

Aunque inicialmente la ADIF subestimó lo ocurrido, asegurando que sus servicios informáticos habían atajado el ataque y que en ningún momento se había visto afectada su infraestructura, el data breach tuvo enormes consecuencias reputacionales, cuando REvil divulgó información confidencial de la compañía.

En una primera fase REvil filtró unos 8 GB de información en su Happy Blog, que comprendía más de 1.000 archivos y carpetas, mensajes email entre los empleados de la ADIF, direcciones de contacto, bases de datos e información financiera. El volumen de datos publicados representaba cerca del 1% de los datos que poseían, afirmaban. «Si no cumplís nuestras condiciones, vuestra información será publicada. Seguiremos bajándonos vuestros datos hasta que contactéis con nosotros», escribieron los hackers en un mensaje en la dark.[5]

Una divulgación inicial de este tipo, tiene como objetivo demostrar el tipo de información que poseen para extorsionar a la víctima y en caso de no pagar dentro de los términos exigidos, el resto de la información es vendida a través de subastas en la darkweb, donde otros cibercriminales puedan aprovecharla para otros delitos.

Un estudio publicado recientemente por Trend Micro sobre los actores del ‘ransomware moderno’, explica que estos realizan movimientos laterales como los actores de las amenazas persistentes avanzadas, APT, para tratar de encontrar sistemas importantes en la red de la víctima, que tienen más probabilidades de contener datos sensibles para robar y cifrar, poniendo en práctica una “doble extorsión”, por la que amenazan con filtrar los datos sensibles que han sido robados antes de desplegar el ransomware en sus redes comprometidas.

Entre marzo de 2020 y enero de 2021, el estudio identificó 16 grupos de cibercriminales con este modus operandi. Entre ellos, los grupos Conti, Doppelpaymer, Egregor y REvil lideraron por el mayor número de víctimas expuestas, mientras el grupo Cl0p tuvo la mayor cantidad de datos robados alojados ‘online’, con 5TB y  el grupo Nefilim resultó ser el más lucrativo, enfocado en atacar a organizaciones con ingresos anuales superiores a mil millones de dólares de facturación, siendo esa la organización cibercriminal que ha obtenido mayores ingresos medios con el ‘ransomware moderno’.[6]

Mapa de ataques de REVil

Mapa de ataques de REVil

Hay un video en Youtube[7] que ha sido traducido del ruso y analizado en distintas plataformas de inteligencia, donde un supuesto hacker perteneciente al grupo REvil cuenta “como ganar US$100.000.000 como encryptor” utilizando el malware REvil.

Pueden ejecutar accesos masivos o ataques de DDoS contra la infraestructura de una víctima y cualquier otro tipo de ataque que pueda resultar altamente lucrativo

En esta especie de “tutorial” el hacker menciona que además de los ataques de ransomware (cifrar los datos de las víctimas y robarlos para extorsionar), también pueden ejecutar accesos masivos o ataques de DDoS contra la infraestructura de una víctima y cualquier otro tipo de ataque que pueda resultar altamente lucrativo, si va dirigido a objetivos concretos.

El supuesto hacker de REvil dice que ellos comprenden la amenaza de ser arrestados y que por eso no viajan al extranjero. Llega a decir literalmente, que la única forma de detenerle sería dispararle.[8] Se presume que REvil opera desde Rusia, aunque podrían utilizar sistemas de VPN para desviar la huella digital hacia otras jurisdicciones.

Curiosamente, el grupo no atenta contra organizaciones rusas, ni aquellas en países del antiguo bloque soviético y aleadas del gobierno de Putin. No se sabe con certeza si REvil cuenta con protección de las autoridades rusas, pero tampoco hay pruebas de lo contrario, pues el gobierno no muestra ningún empeño para frenarlos.

REvil ha sustraído datos a empresas importantes como Apple, Acer y Garmin, entre otras grandes compañías, a cambio de rescates multimillonarios. Recientemente realizó tres ataques de gran magnitud en los Estados Unidos que hicieron elevar el nivel de alerta de las autoridades, contra este grupo de cibercriminales; equiparables en peligrosidad a un grupo terrorista.

En mayo, ejecutaron un ataque ransonware contra Colonial Pipeline, la compañía de oleoductos más importante de EEUU, que afectó a 17 Estados, dejando sin combustible a casi 50 millones de personas, aproximadamente el 45% de los habitantes de la Costa Este. La ciber-extorsión o rescate alcanzó los 4,4 millones de dólares (en Bitcoin).

Tras la restitución de los sistemas, casi la mitad de la suma entregada a los hackers pudo ser rastreada y recuperada por parte de las autoridades estadounidenses.

En junio, la sucursal norteamericana de JBS, empresa originaria de Brasil y que se ha convertido en el mayor proveedor de carne del mundo, fue víctima de un ataque ransomware, viéndose obligada a pagar 11 millones de dólares de rescate (en Bitcoin) a los hackers, para la restitución de sus sistemas.

Hasta ahora, este es el mayor ciber-ataque global con ransomware y se estima que ha afectado a más de 40 mil computadoras en todo el mundo.

En julio, la empresa Kaseya, especializada en sistemas informáticos con sede en Miami y proveedora de Software a clientes en todo el mundo, fue víctima de un ransomware que afectó de manera directa a 40 clientes y de manera indirecta a otros 1000 clientes de sus clientes, en unos 17 países, entre ellos la cadena de supermercados Swedish Coop, con más de 800 puntos de ventas en Suecia. La suma exigida por los hackers asciende a 70 millones de dólares (en Bitcoin). Hasta ahora, este es el mayor ciber-ataque global con ransomware y se estima que ha afectado a más de 40 mil computadoras en todo el mundo.

El ataque a Kaseya, se llevó a cabo aprovechando una vulnerabilidad desconocida, o un “zero day” (día cero), llamado así porque una vez que se descubre la vulnerabilidad, el fabricante del software tiene cero días para arreglarla.

El ataque a Kaseya, se llevó a cabo aprovechando una vulnerabilidad desconocida, o un “zero day”

Happy Blog

El presidente Joe Biden ha definido los ataques como “extorsión cibernética” que mete en grave riesgo la seguridad nacional y ha tratado de activar un plan de cooperación con Rusia, para prevenir y controlar este delito. Hasta ahora no ha conseguido la colaboración de su colega Putin.

Recientemente este año, desde mediados de julio, todas los canales Web y Darkweb utilizados por REVil para comunicarse están caídos. Según expertos como Lawrence Abrams, responsable de BleepingComputer, los sitios de REvil están “shut down”, incluidos los sitios de pago y el sitio de filtración de datos. «Los errores que muestran sus páginas muestran claramente que los sitios han sido deshabilitados o eliminados, no se sabe si por parte de las autoridades o si ha sido la propia REvil la que ha realizado dicho borrado».[9]

 

Si necesitas un Hacker, busca a un Ruso.

 

En los últimos años han proliferado las universidades especializadas en ciencias informáticas en Rusia, muchas de las cuales son de altísima calidad. A diferencia de India (donde también abundan los profesionales en computación), los Rusos se han especializado principalmente en el desarrollo de software, inteligencia artificial y otros sistemas, más que en el desarrollo de dispositivos, y equipos informáticos – hardware,  como los informáticos asiáticos.

Abundancia de talentosos profesionales, unido a otros factores claves.

Esta abundancia de talentosos profesionales, unido a otros factores claves, por una parte: bajo porcentaje de ocupación, salarios precarios, malas condiciones de trabajo en las empresas locales y pocos incentivos para los emprendimientos o startups rusas;

y por la otra parte, la alta impunidad de la ciberdelincuencia, la poca capacidad (o interés) de las autoridades en perseguir y castigar los delitos informáticos, unido al hecho de que Rusia no ha sido precisamente el país más colaborador con occidente en cuanto al intercambio de información de inteligencia policial y la cooperación judicial internacional; todo esto convierte a esa nación en la cuna perfecta para hackers criminales con capacidad global, aunque no es el único país que destaca por ello.

 

Lázaro: El grupo hacker de Pyongyan.

 

Corea del Norte también dispone de un alto numero de hackers que operan internacionalmente. Algunas fuentes señalan que estos se mueven bajo instrucciones del gobierno dictatorial del ese país y que las actividades criminales que ejecutan, sirven para financiar al régimen.

En febrero de 2021, los hackers norcoreanos intentaron vulnerar los sistemas de seguridad de la farmacéutica Pfizer, con la intención de robar información sobre la vacuna y el tratamiento contra el COVID-19. El ataque se pudo frenar gracias al apoyo del Servicio Nacional de Inteligencia de Seúl, Corea del Sur.

Esto ya ha ocurrido otras veces pues tanto Pfizer como su socio alemán BioNTech declararon en diciembre del 2020 que los documentos relacionados con su vacuna fueron «accedidos ilegalmente» durante un ciberataque a un servidor de la Agencia Europea del Medicamento, el regulador de medicamentos de la Unión Europea, UE.[10]

Mapa de ataques del grupo Lázaro

Mapa de ataques del grupo Lázaro

Un celebre caso que muestra la capacidad estratégica y operativa que tienen estos “Hackers de Estado” del gobierno de Pyongyang, conocidos entre la industria de la seguridad cibernética como el “Grupo Lázaro”, fue el acceso a las cuentas del Banco Central de Bangladesh en 2016.

Eligieron un jueves por la noche para vaciar las cuentas, transfiriendo casi US$1.000 millones desde el Banco de Bangladesh al Federal Reserve System, FED, Banco Central de los Estados Unidos  y de allí a miles de cuentas bancarias con nombres falsos, organizaciones benéficas, casinos y una amplia red de cómplices. 

Las transferencias se hicieron un jueves por la noche, un momento estratégico, pues mientras en Nueva York ya era viernes por la mañana y la FED estaba plenamente operativa para seguir las instrucciones y ejecutar las transferencias; el Banco de Bangladesh, no trabaja los viernes y retomaría sus actividades el día lunes. Para cuando se iniciaron las investigaciones, los criminales ya habían ganado tres días de ventaja para mover el dinero.

 

El Whistleblowing para la prevención de los delitos informáticos

 

La fábrica de baterías – Gigafactory de Tesla en Nevada, logró prevenir un ataque informático en agosto de 2020, gracias a la fidelidad corporativa de un empleado, quien actuando como Whistleblower, señaló ante la empresa (la cual involucró al FBI para que investigara), los plantes del pirata informático Egor Igorevich Kriuchkov, ciudadano ruso de 27 años.[11]

La noticia fue confirmada por el propio Elon Musk, quien indicó que fue un “ataque serio”, después que el Departamento de Justicia estadounidense explicara la operación sin especificar la compañía.

Tras su llegada a Estados Unidos en julio con un ingreso de turista, Kriuchkov contactó a un empleado de habla rusa en la Gigafactory, para proponerle instalar un malware en los sistemas de la empresa con el objetivo de filtrar y encriptar los datos sensibles, para luego pedir un millonario rescate. A cambio, el empleado recibiría un US$1 millón.

El grupo al cual pertenecía, gastó unos US$250,000 en el ramsonware que filtraría datos de la red de Tesla.

El hacker Kriuchkov dijo que el grupo al cual pertenecía, gastó unos US$250,000 en el ramsonware que filtraría datos de la red de Tesla y los cargaría en un servidor remoto para después pedir dinero a cambio de eliminarlos. La operación se vino abajo después que el empleado alertara los hechos.

Como es costumbre en los Estados Unidos, en los casos de informaciones importantes obtenidas gracias a fuentes internas que actúan como Whistleblower, “soplones”, informantes; Elon Musk premió la actuación de este empleado con una importante recompensa monetaria.

¿Cómo saber si el ataque hacker viene de REvil?

Así como los terroristas se atribuyen los ataques donde son protagonistas, lo mismo hace esta organización criminal, activando sus canales de comunicación en la darkweb para anunciar cuando una víctima está bajo su ataque.

Por ejemplo, REvil utiliza un sitio dentro de la dark conocido como “Happy Blog” para exponer a las víctimas de sus ataques, publicando parte de los documentos obtenidos en la infiltración a sus sistemas y demandando allí las jugosas recompensas a cambio de evitar que más información sensible de la empresa, de sus clientes, o de terceros relacionados sea revelada.

Además, cuando se analizan los sistemas que han sufrido la violación de seguridad, es posible reconocer la estructura del código malware utilizado por REvil, que usualmente pertenece a una misma familia.

 

¿Qué hacer si tu empresa ha sido víctima de un ataque de REvil?

Ciberseguridad

Ciberseguridad

Es importante estar preparado a través de un adecuado Plan de Contingencia ante los posibles ataques a la ciberseguridad de la empresa, junto al plan de continuidad del negocio business continuity plan & Disaster Recovery. Algunas recomendaciones:

  1. Avisar oportunamente a las autoridades. Las empresas bajo la jurisdicción del reglamento europeo, GDPR, están obligadas a hacer una notificación a la autoridad garante en materia Privacy – protección de datos, dentro de las 72 horas del momento en que se tuvo conocimiento de la violación a la seguridad.
  2. Evaluar el tipo de datos filtrados y la gravedad de las posibles consecuencias para los interesados, especialmente cuando se trate de datos particulares.
  3. Según la evaluación del evento, el GDPR prevé que se notifique el data breach a todos los interesados.
  4. Evaluar el alcance del daño y la posibilidad de restablecer los sistemas, determinando la viabilidad, tiempo y recursos requeridos para retomar el normal funcionamiento sin acceder a las exigencias de los hacker.

El plan de contingencia debe ser exhaustivo y detallado, dejando por escrito con antelación cada paso a seguir, para evitar el riesgo de improvisar. Es importante individualizar los actores responsables. El plan debe especificar que hace cada quien, como debe hacerlo y cuando, bajo el principios de accountability.

Algunas recomendaciones tecnológicas:

  • Desactivar RDP si no se utiliza. Si es necesario, cambiar el puerto RDP a un puerto no estándar.
  • Configurar el firewall denegando el acceso a direcciones IP públicas y a puertos importantes (en este caso, el puerto RDP 3389 y limitar el acceso solo a las IP que estén bajo el propio control)
  • Utilizar VPN para acceder a la red, en lugar de exponer RDP a Internet.
  • Implementar la autenticación de dos factores (2FA), actualizando credenciales.
  • Establecer una nueva política de bloqueo que dificulte la adivinación de las credenciales.
  • Crear una carpeta de red separada para cada usuario, al administrar el acceso a carpetas de red compartidas.

El “dispositivo” de seguridad más importante, no es una herramienta electrónica; sino las personas.

Estar preparados ante los cibercriminales, significa incluir la probabilidad de un ataque dentro de la evaluación de riesgos y brechas de la organización (Information Security Risk Management  y Gap Analysis), así como las medidas de prevención y control a adoptar; recordando que el “dispositivo” de seguridad más importante, no es una herramienta electrónica; sino las personas. La capacitación, formación, entrenamiento continuo y motivación para crear sentido de pertenencia a la organización serán siempre fundamentales

[1] https://dfmas.df.cl/df-mas/glocal/los-nuevos-pasos-de-los-hackers-que-atacaron-a-bancoestado

[2] https://www.iproup.com/innovacion/24210-revil-quienes-estan-detras-de-la-peligrosa-agrupacion

[3] https://www.incibe-cert.es/blog/sodinokibi-caracteristicas-y-funcionamiento

[4] https://tekapp.it/cosa-e-successo-nel-2020/

[5] https://www.businessinsider.es/adif-victima-ciberataque-han-robado-800gb-datos-682565

[6] https://www.europapress.es/portaltic/ciberseguridad/noticia-asi-trabaja-nefilim-ransomware-ataca-ricos-20210622090036.html

[7] https://www.youtube.com/watch?v=ZyQCQ1VZp8s&t=43s

[8] https://derechodelared.com/malware-revil/

[9] https://www.elespanol.com/omicrono/tecnologia/20210714/misteriosa-desaparacicion-revil-hackers-buscados-internet/596440730_0.html

[10] https://www.dw.com/es/hackers-norcoreanos-intentaron-robar-datos-de-vacuna-de-pfizer-denuncia-corea-del-sur/a-56590829

[11] https://www.bbc.com/news/world-us-canada-56469475#:~:text=A%20Russian%20man%20in%20the,company’s%20battery%20plant%20in%20Nevada.

Pin It on Pinterest