El Servicio Federal de Seguridad (FSB) de Rusia arrestó a miembros del prolífico grupo de ransomware REvil a pedido del gobierno de los EE. UU. en un acontecimiento significativo que se recibe con cierto escepticismo dado su momento en medio de las crecientes tensiones geopolíticas entre las dos naciones.
En un comunicado, el FSB dijo que detuvo a 14 miembros de la pandilla REvil y registró 25 direcciones asociadas con ellos en una operación que resultó en la incautación de numerosos activos pertenecientes al grupo. Esto incluyó el equivalente a unos 6.8 millones de dólares en varias monedas, incluida la criptomoneda; 20 vehículos premium; equipo de computadora; y billeteras de criptomonedas que el grupo REvil utilizó en sus operaciones.
Este desarrollo se produce en medio de la noticia de una serie de ataques cibernéticos en Ucrania hoy que derribaron sitios web pertenecientes a varias agencias gubernamentales, incluido el Ministerio de Educación del país y su Ministerio de Relaciones Exteriores. Aún no está claro si los operativos con base en Rusia están detrás de los ataques, aunque muchos los han señalado como posibles sospechosos.
El FSB describió su investigación como un esfuerzo complejo y coordinado que resultó en el desmantelamiento de la operación REvil y la neutralización de su infraestructura criminal. La investigación y el derribo se iniciaron a instancias de las autoridades estadounidenses, quienes identificaron al cabecilla de REvil al FSB y proporcionaron información detallada de las actividades de ransomware de la pandilla dirigidas a entidades extranjeras, el FSB dijo. A las autoridades estadounidenses se les han proporcionado detalles completos de la operación, agregó.
El derribo de REvil, al menos como lo describen las autoridades rusas, es significativo porque Rusia históricamente ha negado albergar grupos de ransomware organizados y no ha tomado medidas contra ellos, a pesar de las solicitudes de los Estados Unidos. En una reunión en junio pasado, el presidente Biden advirtió a Rusia que la infraestructura crítica de EE. UU. estaba fuera del alcance de los piratas informáticos e instó al presidente ruso, Vladimir Putin, a actuar contra el ransomware y otros grupos ciberdelincuentes que trabajan fuera del país.
La actividad de ataque de REvil, también conocida como Sodinokibi, surgió en 2020 y ofreció malware bajo un modelo de ransomware como servicio a otros grupos de amenazas. El ransomware se ha utilizado en varios ataques contra organizaciones importantes, pero ninguno tan preocupante como uno contra Alimentos JBS en mayo pasado que causó grandes interrupciones en el procesamiento y entrega de carne en los Estados Unidos y Australia. Otro incidente que causó una gran preocupación fue el ataque de junio de 2021 contra Kaseya, en el que se implementó ransomware en sistemas pertenecientes a miles de clientes de proveedores de servicios gestionados.
En noviembre, el Departamento de Justicia de los Estados Unidos anunció una Recompensa de $ 10 millón por información que conduzca a la identificación o ubicación de personas clave en el grupo REvil y $5 millones por información que conduzca al arresto y condena de cualquier afiliado.
Escepticismo sobre los verdaderos motivos
Varios expertos en seguridad dieron la bienvenida el viernes a la acción del FSB y la describieron como algo bueno en general.
Sin embargo, existe cierto escepticismo sobre los verdaderos motivos detrás de esta acción, considerando que se produce en medio de crecientes tensiones entre EE. UU. y Rusia por la preocupación de que este último se esté preparando para invadir Ucrania. Las conversaciones entre los dos países para reducir la situación en Ucrania hasta ahora no han llevado a ninguna parte y existe una creciente preocupación de que el conflicto en la región pueda provocar una interrupción importante en las relaciones entre Estados Unidos y Rusia.
“Derribar a REvil es muy útil para Rusia durante las conversaciones con Estados Unidos y ayuda a ganarse el favor de los países occidentales que probablemente interfieran en el conflicto con Ucrania”, dice Josh Lospinoso, director ejecutivo y cofundador de Shift5 y miembro fundador de Comando Cibernético de EE.UU. “Esta exhibición pública también le da a Rusia una negación plausible [de que] REvil fue responsable del ataque cibernético de JBS, donde recibieron $ 11 millones en rescate”.
Al acabar con REvil, Rusia envía el mensaje de que se está tomando en serio la embestida de los ataques cibernéticos contra la infraestructura crítica. Sin embargo, los grupos de ransomware, particularmente aquellos que trabajan directa o indirectamente con el régimen de Putin, tienen un historial de recuperación, dice Lospinoso. Es muy probable que surja otro grupo para reemplazar a REvil, dijo.
Kevin Breen, director de investigación de amenazas cibernéticas en Immersive Labs, dice que la situación geopolítica actual hace que sea difícil determinar qué tipo de mensaje está enviando Rusia con el desmantelamiento de la operación REvil. Solo el tiempo puede decir si la operación indica una voluntad a largo plazo de cooperar en asuntos de ciberseguridad por parte de las autoridades rusas.
“La cooperación en curso con las autoridades internacionales para interrumpir y disuadir los ataques cibernéticos que se originan dentro del territorio ruso enviaría un mensaje de que el gobierno tiene la intención de impulsar un cambio a largo plazo”, dice Breen.
En la superficie, al menos, el derribo de REvil por parte del FSB indica una voluntad por parte de Rusia de actuar sobre la información de las autoridades estadounidenses y de las naciones aliadas. Charla en foros clandestinos que Trustwave monitoreado El noviembre pasado mostró al menos cierto nivel de aprensión entre los actores de amenazas con sede en Rusia acerca de la aplicación de la ley en el país para rastrearlos. Según el proveedor de seguridad, algunos miembros del foro incluso discutieron la eventualidad de que los atrapen y cómo prepararse para ello, así como las posibles sentencias que pueden seguir. El propio grupo REvil cerró sus operaciones en los últimos meses debido a la mayor atención policial en sus actividades.
Silas Cutler, analista de amenazas en Stairwell, dice que los arrestos de REvil pueden ser un intento de Rusia de mantener la apariencia de trabajar para combatir el ransomware y otros grupos de amenazas que operan fuera del país. Pero al menos hasta ahora, la acción parece haber hecho poco para asustar al menos a algunos ciberdelincuentes.
“Los miembros de los foros de delitos cibernéticos se han apresurado a comentar, bromeando sobre que las personas arrestadas probablemente no sean miembros clave de estos grupos y probablemente afiliados de nivel bajo a medio que no pagaron a las autoridades correctas por la protección”, dice Cutler. “Durante los últimos años, algunas familias de ransomware han sido diseñadas específicamente para no afectar los sistemas con artefactos en idioma ruso, probablemente para garantizar que sus operaciones permanezcan enfocadas solo en objetivos internacionales, para no violar las leyes rusas”.
