Nuevas operaciones policiales contra los ransomware REvil y Clop

Durante las últimas semanas estamos viendo como se están produciendo varias acciones contra los responsables y afiliados relacionados con varias de las familias de ransomware más activas durante los últimos meses. Si hace unos días veíamos como los responsables de Conti ofrecían el acceso a las redes comprometidas de algunas de sus víctimas (tal vez preparando una posible desaparición) y BlackMatter ransomware anunciaba su cierre (posiblemente relacionado con la detención reciente de varias personas), ahora vemos como se cierra el cerco sobre otras dos familias como son REvil y Clop.

Detenciones relacionadas con REvil y Clop

Con pocos días de diferencia hemos tenido la noticia de varias detenciones relacionadas con afiliados y miembros de los grupos de ransomware Clop y REvil encargados de diferentes tareas dentro de estas organizaciones criminales como, por ejemplo, el lavado de dinero.

El pasado 5 de noviembre desde Interpol se hacían eco de los resultados de la Operación Cyclone, una operación internacional de 30 meses de duración que ha terminado con la detención de varios sospechosos de pertenecer a una organización criminal relacionada con la propagación de malware. Además de los arrestos realizados recientemente como hace unos meses, se han emitido dos órdenes de búsqueda internacional.

Esta operación se ha realizado de forma conjunta entre las policías de varios países, incluyendo Ucrania, Estados Unidos y Corea y ha permitido detener a varios sospechosos de facilitar la transferencia y el blanqueo de dinero proveniente de los casos de extorsión mediante el cifrado de archivos y la publicación de información confidencial previamente robada.

Por su parte, Europol informó el 8 de noviembre de la detención de cinco afiliados del ransomware REvil (también conocido como Sodinokibi). Solo estos afiliados serían responsables de alrededor de nada menos que 5000 infecciones con este ransomware, lo que les permitió obtener de sus víctimas medio millón de euros.

La fuerza de trabajo conjunta establecida en mayo de 2021 y formada por fuerzas policiales de países como Francia, Alemania, Rumania, apoyadas por unidades de Europol y Eurojust ha permitido estas detenciones, entre las que se encuentra el posible responsable de ciberataque a Kaseya y cientos de usuarios de su software el pasado mes de julio. Este sospechoso habría sido detenido el pasado 8 de octubre y cuenta con solo 22 años de edad. El Departamento de Justicia de los Estados Unidos ya ha solicitado su extradición para juzgarlo en relación al incidente de Kaseya.

Los ciberataques con ransomware siguen muy activos

Las detenciones producidas recientemente no han repercutido en los incidentes relacionados con el ransomware. Debemos recordar que la gran mayoría de detenidos representan a afiliados que utilizan las herramientas y malware proporcionado por los desarrolladores para cometer sus delitos, o se dedican a blanquear el dinero obtenido del pago de las extorsiones.

Además, los desarrolladores principales suelen establecerse en países a los que las policías internacionales como Europol o Interpol no pueden acceder y se requiere la participación de las autoridades locales para poder llegar a ellos. Este es el principal problema al que se enfrentan las autoridades actualmente y es que, si bien parte de la infraestructura puede ser desmantelada, el núcleo de desarrolladores de las amenazas permanece inalcanzable.

Una buena muestra de que los ataques con ransomware se siguen produciendo es el incidente registrado por la cadena minorista Media Markt esta misma semana. Varias de las tiendas de esta franquicia y de Saturn se habrían visto afectadas en toda Europa, incluyendo España y esto estaría dificultando el proceso de compra de los clientes, llegando a tener que rellenar facturas de forma manual a la hora de generar facturas y de poder vender solo el stock que haya en la propia tienda.

Inicialmente, los atacantes habrían solicitado una cantidad inicial de 240 millones de euros, aunque según otras fuentes, esta cantidad se habría rebajado a 50 millones. En cualquier caso, se trataría de un rescate millonario al cual los delincuentes no parecen dispuestos a renunciar puesto que saben de la urgencia que tiene esta cadena minorista de recuperar la normalidad cuando nos encontramos a las puertas del periodo con más consumo del año.

Conclusión

Tanto las detenciones producidas como los nuevos casos de incidentes relacionados con el ransomware demuestran que esta amenaza y la lucha contra ella sigue muy vigente. Por ese motivo debemos adoptar todas las precauciones que sean necesarias para proteger a nuestra empresa y la información que en ella se almacena, empezando por lo más básico y añadiendo capas de seguridad que se lo pongan difícil a los atacantes.

Josep Albors

Los parches de seguridad de Microsoft de noviembre solucionan vulnerabilidades que están siendo aprovechadas por atacantes