REvil, también conocido como Sodinokibi, es un operador de ransomware como servicio (RaaS) que últimamente se ha convertido en uno de los más prolíficos del mundo. En Escudo Digital hemos informado sobre él en diversas ocasiones y el pasado mes de julio advertimos que Kaspersky había detectado más de 5.000 intentos de ataque de este ransomware que estaban dirigidos contra 22 países distintos, entre ellos España.
Ahora, Bitdefender ha anunciado en un comunicado el lanzamiento de una herramienta de descifrado gratuita para ayudar a las víctimas cuya información haya sido cifrada por REvil a recuperar los archivos afectados por los ataques que se hayan producido antes del pasado 13 de julio.
Según explica la compañía de ciberseguridad, esta fue la fecha en la que se desconectó parte de la infraestructura de REvil, dejando a las víctimas infectadas que no habían pagado el rescate sin poder recuperar sus datos cifrados. Con esta herramienta, creada en colaboración con un organismo policial, tendrán ahora la posibilidad de recuperar el control de sus datos y activos.
"Esta investigación está aún en marcha, por lo que no es posible desvelar todos los detalles relacionados con el caso hasta que lo autorice el organismo policial que lo lidera. No obstante, las partes implicadas consideran que es importante publicar la herramienta de descifrado en estos momentos para poder ayudar al mayor número posible de víctimas", afirma Bitdefender.
El grupo de ciberdelincuentes detrás de REvil ha estado inoperativo durante un periodo de dos meses, pero se ha detectado que sus servidores y su infraestructura de soporte están otra vez activos. Ante esta circunstancia, la firma de ciberseguridad considera que se van a producir nuevos ataques de REvil "de forma inminente", por lo que insta a las organizaciones a permanecer alerta y tomar precauciones.
REvil/Sodinokibi, uno de los ransomwares más activos y peligrosos de la dark web
En su comunicado, Bitdefender también explica que REvil surgió en 2019 como sucesor del ya desaparecido ransomware GandCrab y que probablemente tiene su sede en un país de Comunidad de Estados Independientes (CEI). Asimismo, indica que se ha convertido en uno de los ransomwares más activos en la dark web, ya que sus afiliados han dirigido sus ataques a miles de empresas de tecnología, proveedores de servicios gestionados y minoristas de todo el mundo entre los que se incluyen JBS, la mayor distribuidora de carne del mundo, o la proveedora de servicios IT estadounidense Kaseya.
"Después de cifrar con éxito los datos de una empresa, los afiliados de REvil exigen importantes rescates, de hasta 70 millones de dólares, a cambio de una clave de descifrado y la garantía de que no publicarán los datos internos de la empresa extraídos durante el ataque", señala la compañía. "El ransomware continúa ganando peso durante 2021 y sigue siendo la táctica de ataque favorita a la hora de amenazar a organizaciones de todos los tamaños y sectores", apunta.
Las víctimas del ransomware REvil ya pueden descargar de forma gratuita la nueva herramienta de descifrado para recuperar sus datos y aquí pueden encontrar un tutorial sobre cómo utilizarla.