Para entender un poco más esta nota te vamos a aclarar algunos términos con los que quizás no estés muy familiarizado. Si hablamos de ransomware, nos referimos a un secuestro de datos a través de un sistema en el cuál se pide un rescate para liberar de vuelta dichos datos. REvil es un grupo de origen ruso que en este último tiempo fue responsable de un gran ciberataque en EE.UU.
Sus actividades contra compañías en España han sido varias. Fueron los responsables de atacar a Adif y filtrar decenas de gigas en datos confidenciales de la empresa pública el año pasado. Hace unas semanas reivindicaron el robo de bases de datos de MásMóvil, algo que la operadora desdeñó.
Hace menos días REvil protagonizó uno de los incidentes más graves en la historia de la ciberseguridad: lograron comprometer la cadena de suministro a través de un proveedor TI llamado Kaseya con más de 40.000 clientes, algunos de ellos en España. Por ahora, lo que se sabe del incidente es que más de 1.000 empresas se vieron afectadas.
REvil lideró una reciente ola de ataques contra empresas de Estados Unidos, exigiendo la semana pasada un rescate de $70 millones de dólares en Bitcoin tras bloquear los ordenadores de más de 200 empresas vinculadas a la firma informática Kaseya. El grupo ruso afirmó que más de un millón de sistemas se vieron afectados en el ataque. En mayo, el grupo atacó a la empresa estadounidense de productos cárnicos JBS y le pagaron un rescate de $11 millones de dólares en Bitcoin para liberar sus sistemas.
El New York Times informó que los sitios de REvil en la deep web “desaparecieron” misteriosamente de la noche a la mañana, sin dejar rastro inmediato de los responsables de la desaparición.
Una de las teorías es que Biden dio instrucciones al Mando Cibernético de Estados Unidos para que inutilizará y derribara los sitios del grupo, por temor a que se produjeran nuevos ataques de ransomware. Otra teoría, de acuerdo con el Times, es que Putin actuó tras el ultimátum después de señalar que estaba abierto a tal cooperación durante una reunión en junio en Ginebra.
Sin embargo, la última teoría es que el grupo simplemente retiró sus propias páginas web tras la creciente presión internacional. Es lo que los expertos creen que ocurrió con Darkside, el grupo que facilitó el ataque a Colonial Pipeline en mayo (las autoridades estadounidenses recuperaron gran parte de ese rescate). El movimiento de Darkside fue considerado como un “teatro digital”, sugiere el Times, y que dichos hackers podrían reformarse en última instancia y reanudar sus ataques bajo otro nombre.
