La misteriosa desaparición de un perseguido grupo de ciberdelincuentes tras una llamada de Biden a Putin

La infraestructura digital del grupo REvil, que operaba presuntamente desde Rusia, desaparece tras dos grandes ciberataques que afectaron a empresas estadounidenses
— Por qué viejas amenazas como Ryuk pueden paralizar durante días entidades públicas como el SEPE

El presidente ruso Vladimir Putin conversa con el presidente estadounidense Joe Biden durante la cumbre entre Estados Unidos y Rusia en Ginebra, Suiza, el 16 de junio de 2021. EFE

14 de julio de 2021 22:48h Actualizado el 15/07/2021 10:14h

No es inusual que las organizaciones de ciberdelincuentes profesionales puedan desaparecer sin dejar rastro. Sobre todo después de un golpe como el que dio el grupo REvil hace 10 días, cuando su ransomware infectó a más de mil organizaciones en todo el mundo tras un gigantesco ciberataque que les colocó en el centro de la diana. Lo que es mucho menos habitual es que esa desaparición llegue horas después de que el presidente de EEUU descuelgue el teléfono rojo para hablar sobre hackers con Vladimir Putin.

El pasado viernes Joe Biden telefoneó a su homólogo ruso para decirle que si él no actuaba para cortarle las alas al grupo de gánsteres digitales (que presuntamente opera desde su territorio), ordenaría a sus propias fuerzas que lo hicieran. Al menos eso es lo que aseguró ante preguntas de la prensa, cuando contestó con un escueto “sí” al ser preguntado si tomaría la iniciativa contra REvil en caso de que Putin no moviera ficha. El grupo de ciberdelincuentes se había pasado de la raya con su última acción, que afectó mayoritariamente a empresas americanas y les provocó pérdidas de miles de millones de dólares.

Cuatro días después, la infraestructura digital con la que REvil (acrónimo de Ramsonware Evil) perpetraba sus ciberataques fue desmantelada. La comunidad de expertos en ciberseguridad estadounidense baraja tres posibles explicaciones, avanza The New York Times. Una es que Biden haya hecho efectiva su amenaza y que su “Cibercomando”, en conjunto con el FBI, haya actuado para desmantelar a la organización.

Otra de las teorías es que fuera Putin quien ordenara a sus fuerzas actuar contra REvil. La tercera es que sea el propio grupo quien decidiera que los ánimos a su alrededor se habían caldeado demasiado y decidiera borrar su rastro, puede que instados a ello por el Kremlin.

“Ahora mismo cualquier opción está sobre la mesa, ha habido mucho movimiento a nivel geopolítico”, explica a elDiario.es Josep Albors, director de investigación y concienciación de ESET España.

La primera teoría que podría contrastarse es la menos épica: que estos gánsteres digitales hayan decidido actuar como los de toda la vida, escondiéndose cuando se perciben acechados. “Hay antecedentes de grupos que una vez han conseguido su objetivo han preferido desaparecer para reaparecer a posteriori con otro nombre. Así intentan quitarse de encima esa persecución porque aparentemente son otro grupo”, expone Albors. Es una táctica que puede aligerar un poco la presión sobre ellos, pero no demasiado efectiva: “Los analistas sabemos reconocerlos cuando reaparecen por las técnicas que utilizan”.

Kaseya

En los últimos años la estrategia más habitual de los grupos de ciberdelincuentes que extorsionan a sus víctimas a través del ransomware es mantener un perfil bajo. Este tipo de ataque cifra los archivos informáticos de la víctima y le impide utilizar sus equipos. Cuando todo parece perdido, los gánsteres digitales se ponen en contacto y ofrecen la clave para descifrar los sistemas a cambio de una cantidad de dinero en criptomonedas y la posibilidad de que todo quede en secreto.

Pero cuando el ransomware de REvil infectó a unas 1.500 organizaciones en todo el mundo, alguna española entre ellas, la vía del perfil bajo dejó de estar disponible. El contagio tuvo lugar a través de un software administrativo que distribuye la empresa estadounidense Kaseya y que todas esas organizaciones utilizaban. Dada la magnitud del ciberataque, REvil optó por ofrecer la clave para todas a la vez a cambio de 70 millones de dólares.

Los daños de REvil en EEUU obligaron a Biden a declarar su ransomware como una amenaza para la seguridad nacional y a ponerse en contacto directo con Putin. Era la segunda vez que la banda golpeaba duramente al país, puesto que hace poco más de un mes atacó a la empresa responsable de la producción del 20% de la carne de vacuno y cerdo de EEUU, haciendo que se llegara a temer por un posible desabastecimiento.

Alquiler de virus

Desde la firma de ciberseguridad ESET recuerdan que el ransomware no es un problema de geoestrategia. “Hay que tener en cuenta que REvil, como muchos otros grupos de delincuentes, es una organización profesional que ofrece su ransomware como un servicio. No son ellos los que atacan directamente a las empresas, sino que lo que hacen es alquilarlo a otros delincuentes que no tienen las herramientas para desarrollar estas amenazas”, detalla Albors.

Funciona como “un sistema de afiliados” en el que ellos crean el virus y son otros los que se encargan de infectar con él a organizaciones de su entorno. Cuando se cobra un rescate “se reparten los beneficios”, explica el experto. Normalmente, los creadores del ransomware dan una serie de pautas para utilizarlo, como “no llames mucho la atención”, algo que claramente falló en el caso Kaseya.

El verdadero motivo de la desaparición de la infraestructura REvil, que había tomado una posición relevante en esa industria del cibercrimen, permanece de momento en el terreno de la especulación. Si ha sido una operación policial en territorio extranjero, una huida de los ciberdelincuentes o un gesto de buena voluntad de Putin hacia el nuevo presidente de EEUU, es algo que solo se revelará cuando alguno de los implicados decida desvelar el misterio.

Etiquetas