REvil es uno de los grupos de ransomware como servicio (RaaS) más activos del mundo, un grupo vinculado a Rusia, también conocido como Sodinokibi, que se descubrió por primera vez en 2019 y que en los últimos tiempos ha creado serios problemas a compañías de todo el mundo. Entre ellos caben recordar el ciberataque que provocó el cierre de todas las plantas de carne de vacuno en Estados Unidos, Australia y Canadá de JBS, la mayor productora de carne a nivel mundial; su ataque a una empresa brasileña e diagnostico médico, y también que dejó sin servicio a más de 1.000 empresas en todos mundo con su ransomware contra Kaseya, perpetrado el pasado 2 de julio.
Sin embargo, tal y como informa la agencia Reuters, este "famoso" grupo de ciberdelincuentes ha sido ahora hackeado y obligado a dejar de operar online como consecuencia de una operación realizada por gobiernos de varios países. En este momento el sitio web "Happy Blog" del grupo criminal, alojado en la Dark Web, y que se había utilizado para filtrar datos de víctimas y extorsionar a empresas, ya no está disponible.
Lo más curioso de esta acción, realizada por "el FBI, junto con Cyber Command, el Servicio Secreto y países con ideas afines”, como ha explicado Kellermann, asesor del servicio secreto de EE.UU. sobre investigaciones de delitos cibernéticos, es que al que consideraban uno de sus grandes enemigos del ciberespacio le han hackeado utilizando el mismo método que el grupo ha estado empleando para atacar a sus víctimas.
El ataque a Kaseya, el principio del fin
Todo comenzó tras el ataque a Kaseya, cuando el FBI logró obtener una clave de descifrado universal que permitió a las víctimas recuperar sus archivos sin realizar ningún pago. Aunque el mes pasado se generó una fuerte polémica cuando se supo que la agencia había ocultado durante semanas este hecho con la esperanza de poder capturar a miembros de REvil o, al menos, acabar con sus operaciones, tal y como explica la web Genbeta.
Sin embargo, los equipos de los gobiernos participantes acertaron en su táctica y consiguieron entrar en los sistemas de REvil y controlarlos parcialmente. Y cuando eso sucedió, y los miembros del grupo restauraron sus servidores a partir de una copia de seguridad, reiniciaron sin saberlo algunos sistemas internos que ya estaban controlados por la policía. Y es que como ya han advertidos numerosos expertos en estas páginas, frente a los ataques de ransomware resulta fundamental mantener las copias de seguridad aisladas de las redes, un error grave que ha supuesto miles de infecciones y en el que este grupo ha caído ahora. Veremos si este es el fin de REvil, o si esta historia cuenta con nuevos capítulos, o incluso si da para un spin off.