La banda de ransomware se desconecta, lo que genera preguntas

Un grupo de hackers con sede en Rusia acusado de un ataque masivo de ransomware se desconectó el martes, lo que generó especulaciones sobre si la medida fue el resultado de una acción liderada por el gobierno.

La página de la «web oscura» del grupo conocido como REvil desapareció unas dos semanas después de un ataque que paralizó las redes de cientos de empresas en todo el mundo y provocó una demanda de rescate de 70 millones de dólares.

«REvil aparentemente ha desaparecido de la web oscura, ya que su sitio web se ha desconectado», tuiteó Allan Liska, un investigador de seguridad de la firma Recorded Future, quien señaló que el sitio no había respondido alrededor de las 0500 GMT.

La noticia llega después de que el presidente de Estados Unidos, Joe Biden, repitiera una advertencia a su homólogo ruso Vladimir Putin a fines de la semana pasada sobre albergar a los ciberdelincuentes y sugirió que Washington podría tomar medidas frente a los crecientes ataques de ransomware.

Los analistas en el pasado han sugerido que el Comando Cibernético del ejército de EE. UU. Tiene la capacidad de contraatacar a los piratas informáticos frente a amenazas a la seguridad nacional, pero no hubo información oficial sobre tal acción.

«La situación aún se está desarrollando, pero la evidencia sugiere que REvil ha sufrido un desmantelamiento planificado y simultáneo de su infraestructura, ya sea por los propios operadores o mediante la industria o la acción policial», dijo John Hultquist de Mandiant Threat Intelligence en un comunicado enviado por correo electrónico.

«Si se trataba de una operación disruptiva de algún tipo, es posible que nunca salgan a la luz todos los detalles».

Brett Callow, de la empresa de seguridad Emsisoft, también señaló preguntas sin respuesta.

«No está claro si la interrupción es el resultado de una acción tomada por la policía», dijo Callow.

«Si la policía ha logrado interrumpir las operaciones de la pandilla, obviamente sería algo bueno, pero podría crear problemas para cualquier empresa cuyos datos estén cifrados actualmente. No tendrían la opción de pagar a REvil por la clave necesaria para descifrar su datos.»

James Lewis, jefe de tecnología y políticas públicas del Centro de Estudios Estratégicos e Internacionales con sede en Washington, dijo que el sitio puede estar inactivo por varias razones, incluida la presión de las autoridades rusas.

«No creo que fuéramos nosotros», dijo.

Liska señaló que la propiedad del sitio no se había cambiado, lo que hacía menos probable la incautación de un dominio. «Esto podría sugerir que se trata de derribos autodirigidos (demasiado pronto para saberlo)», dijo.

El ataque sin precedentes dirigido a la empresa de software estadounidense Kaseya afectó a unas 1.500 empresas.

El ataque de Kaseya, que se informó el 2 de julio, cerró una importante cadena de supermercados sueca y rebotó en todo el mundo, afectando negocios en al menos 17 países, desde farmacias hasta estaciones de servicio, así como docenas de jardines de infancia de Nueva Zelanda.

© 2021 AFP