Expertos reportan que los sitios web y la infraestructura completa del grupo de ransomware REvil han permanecido desconectados durante las más recientes horas. Este grupo, también conocido como Sodinokibi, es capaz de operar a través de múltiples sitios web ilegales empleados para comunicarse con las víctimas de sus ataques y para filtrar información robada.
Los reportes señalan que, desde la noche del lunes, los sitios web de REvil han permanecido desconectados sin una explicación aparente. A continuación se encuentra una captura de pantalla de uno de los sitios web de REvil en la red Tor, el cual muestra un mensaje de error.
Al respecto, el miembro de Tor Project Al Smith mencionó: “Este error significa que el sitio onion fue deshabilitado o está fuera de línea. La razón exacta deben conocerla los operadores del sitio web.”
Aunque las plataformas asociadas a REvil suelen mostrar esta clase de errores frecuentemente, es muy extraño que todos estos sitios cierren de forma simultánea. Además, el sitio en la red convencional decoder.re ya no puede resolverse mediante consultas DNS, lo que podría significar que se han extraído los registros DNS del dominio o que su infraestructura backend DNS ha sido cerrada.
REvil ha sido el actor principal de algunos de los más recientes incidentes de hacking. A inicios de julio, este grupo de ransomware infectó las redes de más de 1500 organizaciones mediante el abuso de una vulnerabilidad en el software de administración remota Kaseya VSA. Aunque al inicio los hackers exigieron unos 70 millones de dólares a cambio de restablecer los sistemas a la normalidad, la demanda bajó a 50 millones de dólares poco después del ataque.
Estos recientes ataques han llamado la atención de las autoridades en E.U., que han anunciado la adopción de medidas más severas para la investigación de estos grupos cibercriminales. No obstante, esto no parece preocupar demasiado a los operadores de REvil, que incluso brindan entrevistas para plataformas especializadas en temas de ciberseguridad.
Hasta este momento no se sabe si estas fallas fueron producto de un error en la red Tor o bien fue una acción premeditada de los operadores de REvil, aunque los miembros de la comunidad de la ciberseguridad no descartan ninguna posible explicación. Esta no sería la primera vez que los hackers deciden cerrar sus operaciones; en ocasiones anteriores, los grupos de ransomware DarkSide y Babuk decidieron terminar voluntariamente sus actividades debido al creciente escrutinio de las autoridades.
Esto no quiere decir que los grupos de hacking dejen de operar, ya que después del cierre de operaciones los hackers suelen renombrar sus actividades maliciosas o integrarse a otros grupos cibercriminales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.