El grupo de ransomware, REvil, vuelve a ser el “blog feliz”

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El infame grupo de ransomware, REvil, que parecía haber cerrado sus operaciones tras un importante ataque a la cadena de suministro del proveedor de software de TI Kaseya parece estar de vuelta en el negocio.

La variante REvil/Sodinokibi ha sido utilizada por innumerables afiliados para extorsionar a empresas tan diversas como la ya desaparecida Travelex, el fabricante de Jack Daniels Brown-Forman y el gigante del procesamiento de carne JBS.

El año pasado afirmó haber amasado una fortuna de 100 millones de dólares gracias a sus esfuerzos. Y por la condena generalizada, tras el ataque a Kaseya, en julio, que afectó a miles de clientes de la cadena de suministro, incluidas las escuelas, parece haber obligado al grupo a desconectarse. El propio ataque atrajo la atención del más alto nivel del gobierno estadounidense, y el presidente Biden ordenó a sus agencias de inteligencia que investigaran.

Algunos especularon con que el grupo simplemente estaba pasando inadvertido y que probablemente volvería con una marca diferente.

Sin embargo, no parece ser el caso, ya que el sitio “Happy Blog” del grupo vuelve a funcionar, según Recorded Future. En este sitio se publican los datos extraídos de sus víctimas para obligarlas a pagar.

“En el momento de redactar este informe, el sitio web sigue incluyendo a las mismas víctimas que en el momento de su cierre el 13 de julio”, afirma la empresa de inteligencia de amenazas.

“Además, el ‘portal de pago’ de REvil, donde se les dice a las víctimas que vayan a negociar con la banda de REvil, también ha sido restaurado en la misma antigua URL .onion de la web oscura”.

Algunos especularon en julio que los actores de la amenaza REvil, que se cree que están ubicados en Rusia, habían recibido instrucciones del Kremlin para moderar su actividad tras reuniones geopolíticas de alto nivel con Washington.

La Casa Blanca ha emitido repetidas declaraciones en las que advierte que se reserva el derecho de perseguir a los ciberdelincuentes dondequiera que se encuentren si los gobiernos que supuestamente los albergan se niegan a tomar medidas.

Con información de: Info Security Magazine.