Cuando a mediados de enero se anunció que 14 individuos pertenecientes al grupo de ransomware REvil habían sido detenidos en Rusia, muchos pensaron que sería el fin definitivo de este grupo. Sin embargo, la reciente reactivación del blog ubicado en la red Tor donde el grupo anuncia sus víctimas ha hecho pensar a algunos que se podría estar ante el retorno de este grupo, aunque lo más probable es que la realidad sea otra.
Un retorno inesperado
Tras varios meses de inactividad y la operación policial realizada por las autoridades rusas en su territorio, nadie esperaba que este grupo volviera a dar señales de vida. Al fin y al cabo, no es extraño que los grupos de ransomware cesen su actividad y sus miembros formen un nuevo grupo o aparezcan otros grupos nuevos.
El grupo REvil se hizo especialmente famoso por ser el responsable del ciberataque a Kaseya, lo que les permitió afectar a cientos de empresas en varios países del mundo, incluyendo España. Fue uno de los ataques a la cadena de suministro más importantes de los últimos años y, tras ese ataque, el grupo empezó a mantener un perfil bajo si lo comparamos con su actividad en los meses anteriores. De hecho, incluso antes de la detención de algunos de sus miembros en Rusia, Europol anunció en noviembre la detención de cinco afiliados de este grupo.
Por eso, sorprende ver que hace unos días apareció un nuevo sitio web en la red Tor donde se pueden observar todas las víctimas de este grupo, incluyendo alguna nueva. A este sitio se redirige desde el antiguo dominio e incluye, además de las filtraciones de los datos robados a sus víctimas, detalles con las condiciones que ofrecen a sus nuevos afiliados, con un reparto de beneficios del 80 por ciento para los afiliados y el 20 por ciento restante para los desarrolladores del ransomware.
Situación actual de los grupos de ransomware
A pesar de que a primera vista esta noticia nos puede hacer pensar acerca de un retorno del grupo, lo cierto es que, salvo aquellos miembros que fueron detenidos o lo dejaron de forma voluntaria, es muy posible que nunca hayan abandonado del todo este grupo. Sobre cómo va a funcionar a partir de ahora, aún es pronto para saberlo, puesto que existe tanto la posibilidad de que el grupo original mantenga su nombre, que el nombre REvil sea usado por imitadores o que incluso algunos miembros de REvil formen otros grupos de ransomware.
Lo que no podemos negar es que el panorama de grupos de ransomware cambia continuamente, y hasta que no veamos las muestras utilizadas no podremos establecer relaciones entre este nuevo grupo (o grupos) con familias ya conocidas de ransomware. Lo que sí que está claro desde hace bastante tiempo es que el ransomware, junto con otros tipos de malware, forman parte de una industria del cibercrimen muy profesionalizada.
Filtraciones de documentación y chats internos, como las del grupo Conti, han vuelto a poner de manifiesto que estos grupos criminales actúan de forma muy similar a una empresa de tamaño mediano. Vemos como estos grupos no solo disponen de desarrolladores de malware y afiliados que se encargan de propagarlo, sino que también cuentan con equipos de recursos humanos que se encargan de contratar a personal e incluso algunas veces tienen que lidiar con la ineficiencia de algunos de sus “empleados”.
Esta profesionalización, junto con la capacidad de acceder de forma cada vez más sencilla a malware y herramientas que facilitan la tarea incluso a los delincuentes con menos capacidad técnica son, en buena medida, uno de los factores principales del aumento de los incidentes de seguridad que hemos visto durante los últimos años.
Es importante destacar este hecho porque demasiadas veces se atribuye este aumento en el número de ciberataques a amenazas avanzadas, y la realidad nos demuestra que las técnicas usadas por los grupos de ciberdelincuentes no suelen diferir mucho de las observadas desde hace años. Por eso es importante comenzar a solucionar los problemas de seguridad de nuestra empresa empezando por solucionar los problemas más básicos, incrementando las capas de seguridad una vez tengamos las anteriores bien establecidas.
Conclusión
Aunque aún es pronto para ver si este supuesto retorno de REvil se consuma de una u otra forma, no debemos bajar la guardia, sino permanecer alerta, puesto que grupos dedicados a propagar amenazas hay muchos, y los usuarios y empresas cada vez se encuentran más expuestos e incluso muchos no adoptan las medidas más básicas de seguridad, algo que los atacantes no van a dudar en aprovechar.