REvil ha sido una de las campañas de ransomware como servicio más prolíficas de los últimos tiempos. Miles de empresas de tecnología, proveedores de servicios administrados y organizaciones de todo tipo de industrias han sido algunas de sus víctimas en todo el mundo. Bitdefender elabora el balance preliminar de una empresa de extorsión.
La cooperación entre las autoridades de seguridad y los expertos en TI condujo a un gran éxito en la segunda mitad de 2021. Los esfuerzos conjuntos fueron necesarios porque los ciberdelincuentes también cooperaron con éxito. Los expertos de Bitdefender Labs hacen un balance de la falla, quizás solo temporal, de una ola exitosa de ransomware como servicio.
Huelgas internacionales contra los patrocinadores de REvil
Más recientemente, los investigadores internacionales asestaron duros golpes a los patrocinadores criminales de REvil: en el curso de una redada en noviembre de 2021, el Departamento de Justicia de EE. UU. arrestó a los llamados afiliados, es decir, socios o participantes en la red REvil, y confiscó alrededor de seis millones de dólares estadounidenses dólares en dinero de rescate. Luego, en enero de 2022, la agencia de inteligencia nacional rusa FSB y la policía rusa arrestaron a otros catorce presuntos miembros de REvil y confiscaron activos financieros multimillonarios adicionales.
El ransomware como modelo de negocio
A los ojos de las autoridades rusas, uno de los grupos de ransomware más exitosos con ventas anuales de 100 millones de dólares estadounidenses y una participación de mercado del 16,5 por ciento ha sido aplastado. Para lograr tal resultado, los operadores de RaaS atacaron una amplia variedad de industrias, en particular la fabricación, los servicios legales y la construcción (consulte la Figura 1). Inicialmente, el acuerdo prosperó y aseguró grandes ganancias para los involucrados: Bitdefender estima que alrededor de diez miembros principales y, en los momentos pico, alrededor de otros 60 socios participaron en las acciones. Este último recibió alrededor del 70 al 80 por ciento de las ganancias.
Una empresa madura
Industrias objetivo del ransomware REvil (Imagen: Bitdefender).
REvil muestra de manera ejemplar el poder y el grado de organización de los modelos criminales de ransomware como servicio. En la red de afiliados, los desarrolladores, los atacantes y quienes realizaron las pruebas de penetración, así como los recolectores de rescate trabajaron en estrecha colaboración y también pensaron en la infraestructura para cobrar las cantidades acordadas. Incluso establecieron soporte para las víctimas que estaban dispuestas a pagar: podían pagar el rescate a través de un portal. Además, los empleados del servicio criminal asesoraron a las organizaciones atacadas sobre la adquisición de criptomonedas o las ayudaron a usar el navegador TOR.
El medio delictivo también premia la competencia
La calidad se distingue en la economía informal. Esto fue evidente en el grupo REvil: cuanto mejor se volvieron el código de malware y los servicios asociados, más socios profesionales se unieron al modelo exitoso. Otras mejoras pusieron objetivos aún más gratificantes al alcance del atacante. Los actores obtuvieron mayores rescates, que inmediatamente reinvirtieron en el RaaS: en nuevos servicios o en nuevo personal. Los socios criminales a menudo eran profesionales buscados que se mudaban de un socio afiliado a otro.
El diálogo con la víctima como comunicación con el cliente
Los ciberdelincuentes se dirigían a sus víctimas como a un cliente. Entonces exigieron el rescate de acuerdo con un patrón fijo, solo diferían las claves y la URL. Los recolectores de rescate también intentaron inspirar confianza en las víctimas. Un saludo personalizado ("Bienvenido ") pertenecía al "buen tono". Desde principios de 2020, los atacantes dieron una supuesta garantía de que su propio descifrador REvil funcionaría mejor que el de otra organización criminal. Prometió una tasa de recuperación de casi el 100% en comparación con solo el 87%.
Amenazas escenificadas
Trabajo conjunto, beneficio conjunto, operación institucionalizada: el modelo de ransomware como servicio (Imagen: Bitdefender).
Por otro lado, los socios de RaaS crearon un potencial de amenaza de varias capas en el que el cifrado era solo una parte de varias. Con referencia al Reglamento General Europeo de Protección de Datos, no solo amenazaron con cifrar los datos, sino también con revelarlos. Lo que hubiera derivado en una obligación de denuncia, un daño a su imagen que no se debe subestimar y, en el peor de los casos, una multa. Si no se pagaba el rescate, los delincuentes aumentaban sistemáticamente la presión, publicaban datos filtrados y luego exigían un rescate para detener este proceso. El tercer nivel de escalada se distribuyó en ataques de denegación de servicio a las víctimas y sus socios comerciales.
El colapso de REvil
Además de la presión de persecución y la disponibilidad de descifradores también desarrollados por Bitdefender, los factores internos también contribuyeron a frenar el éxito de REvil a partir del otoño de 2021. Un proceso de trabajo compartido como RaaS se basa en la reputación y la confianza mutua de los involucrados. Aparentemente, los iniciadores de REvil perdieron la reputación necesaria dentro de la comunidad ciberdelincuente. Por un lado, esto se debió a su comportamiento provocativo y escandaloso, que violaba un código de conducta en la clandestinidad ciberdelincuente. Por otro lado, el ataque a la industria de la salud o a los fabricantes de productos farmacéuticos e investigadores de fármacos durante la pandemia no estuvo exento de polémica entre el semipúblico criminal. Los delincuentes de la vieja escuela encontraron esto contraproducente y esperaban que estas empresas desarrollaran rápidamente un antídoto, porque entonces la economía volvería a funcionar más rápido y se podrían exigir rescates más altos nuevamente.
Obras comunes e internacionales de defensa
El complejo REvil ha demostrado que solo una respuesta común ayuda contra un grupo de ciberdelincuentes: por el lado tecnológico, una combinación de tecnologías y servicios como la detección y respuesta administrada (MDR), el análisis heurístico y el aprendizaje automático por un lado, como así como el conocimiento, la experiencia y la intuición de los expertos en seguridad de TI, por otro lado. Herramientas como descifradores también contribuyeron. Con la herramienta de descifrado lanzada por Bitdefender en otoño de 2021, 1.400 empresas pudieron descifrar archivos por un valor total de XNUMX millones de dólares estadounidenses. Por el lado del personal, es importante una estrecha cooperación entre el estado y los actores del sector privado en seguridad de TI. Y eso en todo el mundo, porque el ciberdelito no conoce fronteras nacionales.
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de