Washington (CNN Business) – REvil, el grupo de ransomware que atacó al proveedor de carne JBS Foods esta primavera boreal y a un importante proveedor de software IT este mes, desapareció misteriosamente de internet, según los expertos en ciberseguridad que hacen un seguimiento del grupo.
Los sitios web y otras infraestructuras pertenecientes al grupo de ciberdelincuentes, que se cree que operan desde Europa del Este o Rusia, quedaron inoperantes el martes cuando los observadores cercanos al grupo descubrieron que no podían conectarse a la página web de REvil en la que se enumeraban sus víctimas.
Otros dijeron que no podían conectarse a los sitios que REvil utiliza para comunicarse con las víctimas y cobrar los rescates.
“Todos los sitios de REvil están caídos, incluidos los sitios de pago y el sitio de filtración de datos”, tuiteó Lawrence Abrams, creador del blog de seguridad informática BleepingComputer. “El representante público del grupo de ransomware, Unknown, está extrañamente tranquilo”.
Las razones de la desaparición de REvil no estaban claras de inmediato, pero se produce después de una serie de hackeos de alto perfil por parte del grupo que tomó el control de computadoras en todo el mundo. También se produce después de que el presidente Joe Biden dijera que había advertido a su homólogo ruso, Vladimir Putin, que habría consecuencias si Moscú no hacía frente a los ataques de ransomware procedentes de sus fronteras.
El gobierno de Biden ha identificado cada vez más el ransomware como una amenaza para la seguridad nacional y económica, destacando su potencial para interrumpir las infraestructuras críticas de las que dependen los estadounidenses.
El ransomware funciona bloqueando una red informática, robando y encriptando los datos hasta que las víctimas aceptan pagar una cuota.
Los que se niegan pueden encontrar su información filtrada en línea. En los últimos años, los grupos de ransomware han atacado hospitales, universidades, departamentos de policía, gobiernos municipales y una amplia gama de otros objetivos.
Una fuente familiarizada dijo a CNN que el Comité de Inteligencia de la Cámara de Representantes no ha sido informado de las causas de la caída de REvil. Un ayudante del Comité de Inteligencia del Senado dijo “sin comentarios” cuando se le preguntó si ese comité había sido informado de la situación.
Durante el fin de semana festivo del 4 de julio, los expertos en ciberseguridad dijeron que REvil era responsable de un ataque a Kaseya, una empresa de software de TI que apoya indirectamente a un sinnúmero de pequeñas empresas, incluyendo firmas de contabilidad, restaurantes y oficinas de dentistas.
REvil se atribuyó el ataque y exigió US$ 70 millones para liberar las máquinas afectadas. Las autoridades de EE.UU. también sostienen que REvil estaba detrás del ataque a JBS, una de las mayores empresas cárnicas del mundo.
REvil obtuvo US$ 11 millones de las víctimas en el transcurso de su operación, según el rastreador de pagos en criptomoneda Ransomwhere.
La repentina desaparición del grupo ha provocado una amplia especulación sobre lo que puede haber ocurrido. Las teorías van desde una caída planificada del sistema hasta un ataque gubernamental coordinado. Pero a estas alturas, los expertos siguen haciendo conjeturas. El FBI y el Mando Cibernético de EE.UU. declinaron hacer comentarios sobre si pueden haber estado involucrados.
“Este apagón podría ser un mantenimiento criminal, un retiro planificado o, más probablemente, el resultado de una respuesta ofensiva a la empresa criminal… no lo sabemos”, dijo Steve Moore, estratega jefe de seguridad de la firma de ciberseguridad Exabeam.
Dmitri Alperovitch, cofundador de la empresa de ciberseguridad CrowdStrike, planteó la hipótesis de que los gobiernos occidentales pueden estar presionando a las empresas de infraestructuras de internet para que no completen las solicitudes de navegación de los sitios de REvil.
Drew Schmitt, principal analista de inteligencia de amenazas de GuidePoint Security, advirtió que aunque la imposibilidad de conectarse a los sitios de REvil puede ser un indicador potencial de la participación de las fuerzas del orden, no lo demuestra de forma concluyente.
“La semana pasada el sitio de REvil también estuvo caído durante un tiempo”, dijo en una declaración a CNN.
REvil se encuentra entre los atacantes de ransomware más prolíficos, según la empresa de ciberseguridad CheckPoint. Tan solo en los últimos dos meses, REvil realizó 15 ataques por semana, dijo el portavoz de CheckPoint, Ekram Ahmed.
Dada la atención que ha generado, es posible que REvil haya optado voluntariamente por pasar desapercibido durante un tiempo, añadió Ahmed.
“Recomendamos no sacar conclusiones inmediatas, ya que es pronto, pero REvil es, efectivamente, una de las bandas de ransomware más despiadadas y creativas que hemos visto”.
Anne Neuberger, la máxima responsable de cibernética de la Casa Blanca, viajaba el martes con Biden, aunque no estaban claras sus razones para acompañar al presidente a Filadelfia. Un portavoz de la Casa Blanca no respondió inmediatamente a una solicitud de comentarios.