La derribo de la banda de ransomware REvil por el FSB ruso el 14 de enero de 2022, tomó al mundo por sorpresa. Antes de esto, la regla no escrita era que los piratas informáticos estarían seguros en Rusia siempre que no atacaran a Rusia.
El anuncio del FSB afirmó que el derribo fue en respuesta a una solicitud de las autoridades estadounidenses. ¿Es este el comienzo de una nueva era de cooperación internacional contra los ciberdelincuentes, o solo un ejemplo único de la diplomacia rusa en acción? El tiempo será el árbitro y, mientras tanto, solo podemos conjeturar.
Un fuerte argumento a favor del ángulo de la diplomacia es que REvil podría verse como un objetivo fácil, casi como un pato cojo en Rusia. En julio de 2021, la infraestructura de REvil sufrió lo que se ha descrito como un 'derribo planeado'. “La situación aún se está desarrollando, pero la evidencia sugiere que REvil ha sufrido un desmantelamiento planificado y simultáneo de su infraestructura, ya sea por parte de los propios operadores o a través de la industria o la aplicación de la ley”, dijo a la AFP John Hultquist de Mandiant Threat Intelligence.
En octubre de 2021, los servidores Tor asociados con la pandilla de ransomware REvil fueron se apoderó en lo que se describió como una operación de pirateo "multinacional". Uno de los operadores dejó un mensaje de despedida: “Me estaban buscando. Buena suerte a todos; Estoy fuera."
[ Leer: Cinco señales clave de la redada de ransomware REvil en Rusia ]
En noviembre de 2021, Europol anunció el arresto de siete personas vinculadas al ransomware REvil y GandCrab. En el fondo, Biden ha estado presionando a Putin para que actúe contra los ciberdelincuentes rusos mientras los propios operadores de REvil parecían vivir ostentosamente. Interfax informó que la acción del FSB confiscó aproximadamente $5.6 millones y 20 autos de lujo.
Se podría sugerir que REvil había perdido el valor principal de una comunidad clandestina de piratas informáticos en Rusia: la provisión de negación plausible para Putin contra las afirmaciones de participación estatal en los ataques cibernéticos. REvil se había convertido en una fruta madura, y la fruta madura es siempre el primer objetivo en cualquier actividad cibernética. El argumento de la diplomacia para el derribo de REvil es que Rusia pierde poco pero potencialmente gana mucho.
Trustwave ha estado monitoreando (informe de blog) charla clandestina rusa para ver qué piensan otros piratas informáticos de la situación. La firma notó por primera vez indicios de nerviosismo en noviembre de 2021 cuando hubo reclamos de conversaciones secretas entre el FBI y el FSB. Mucho antes de los arrestos de REvil, algunos piratas informáticos ya sugerían que Rusia ya no sería un refugio seguro.
Desde los arrestos, Trustwave informa que la preocupación se ha vuelto más fuerte, incluida la sugerencia de que al menos un administrador del foro clandestino había sido 'convertido' por la policía. “Él es el administrador del foro de la rampa, que trabaja para hacer cumplir la ley contra los trabajadores ordinarios”, publicó un miembro.
Otro publicó: “Una cosa está clara, aquellos que esperan que el estado los proteja se sentirán muy decepcionados”.
Se habla mucho sobre lo que deberían hacer ahora los piratas informáticos, que ya no se sienten seguros. Las recomendaciones incluyen el uso de Tor para el anonimato, el cifrado para la seguridad y no guardar los bienes robados en una sola computadora para su protección. “Ahora es peligroso escribir cualquier cosa, en cualquier lugar”, escribió irónicamente un miembro del foro. “Y hay cámaras por todas partes en Moscú y San Petersburgo”.
[ LEER: El caso para derribar sitios web oscuros ]
La naturaleza de fruta madura de la pandilla REvil no pasa desapercibida. “No es una lástima para los chicos codiciosos y tontos. Un montón de temas útiles se estropearon a una masa de personas que estaban sentadas en silencio haciendo algo por su cuenta dentro de diferentes empresas, y después de ellos (REvil), todo se estropeó por completo allí”.
Trustwave también cuestiona, pero sin ofrecer una respuesta, si los arrestos de REvil podrían ser simplemente un espectáculo diplomático. “Un miembro del foro planteó la posibilidad de que la operación del FSB fuera, de hecho, falsa o solo 'un espectáculo' para el consumo internacional”, escriben los investigadores. “Posiblemente apoyando esta línea de pensamiento está el hecho de que las autoridades estadounidenses no han comentado oficialmente sobre los arrestos, ni han negado o confirmado que la actividad del FSB fue en respuesta a una solicitud hecha por una agencia estadounidense”.
Vale la pena señalar que la diplomacia rusa es experta en crear una distracción (¿los arrestos de REvil?) para desviar la atención internacional de sus principales preocupaciones (¿Ucrania?).
Pero la gran pregunta es, ¿qué sigue? ¿El gobierno ruso cumplirá y procesará a los arrestados con todo el peso de la ley? ¿Seguirá con el arresto de otros ciberdelincuentes? ¿Cómo reaccionará la comunidad de hackers existente? Los piratas informáticos podrían darse por vencidos y retirarse (poco probable); podrían profundizar en la carrera silenciosa (casi seguro); o podrían partir hacia climas alternos.
Una cosa está clara. Como comentó un miembro del foro: “Ser una superestrella en nuestro negocio es una muy mala idea”. Puede ser que los arrestos de REvil interrumpan principalmente a los delincuentes menores y ruidosos, sin interrumpir seriamente a los delincuentes silenciosos más 'profesionales'. A menos, por supuesto, que esto realmente sea un punto de inflexión en la cooperación internacional.
Relacionado:: Cinco señales clave de la redada de ransomware REvil en Rusia
Relacionado:: SecurityWeek Cyber Insights 2022: Ransomware
Relacionado:: El FBI confirma que el ransomware REvil está involucrado en el ataque a JBS
Relacionado:: Escala, detalles del ataque masivo de Kaseya Ransomware emergen
Kevin Townsend es colaborador sénior de SecurityWeek. Ha estado escribiendo sobre temas de alta tecnología desde antes del nacimiento de Microsoft. Durante los últimos 15 años se ha especializado en seguridad de la información; y ha publicado muchos miles de artículos en decenas de revistas diferentes, desde The Times y Financial Times hasta revistas de informática actuales y antiguas.
Tags: 
