En los últimos meses hemos visto cómo el ransomware ha generado un inmenso caos en cientos de empresas y organismos gubernamentales, donde muchos datos han acabado cifrados. Estos datos no se pueden recuperar actualmente, y puede que haya que esperar años hasta que se cree la herramienta que permita descifrarlos. Por suerte, parece que esta ristra de ataques ha llegado a su fin.
Este ransomware cuenta con un sistema de actualización constante, donde el grupo REvil vende acceso a los archivos totalmente actualizados en formato de servicio de suscripción, como si de un Netflix del malware se tratase.
REvil: adiós a sus ataques de ransomware
REvil contaba con un sistema de «ransomware-as-a-service» (RaaS), y fue uno de los primeros que empezó ofreciendo este servicio en abril de 2019. Su «producto» estaba basado en el ransomware GandCrab, que apareció a principios de 2018. En el caso de REvil, se cree que operaban desde Rusia.
Este grupo, al parecer, ha desaparecido de Internet sin dejar rastro. REvil contaba con una infraestructura en la red Tor con un total de 23 webs en las que filtraban datos, realizaban extorsiones, y procesaban los pagos de quienes contrataban sus servicios. Todos han desaparecido, mostrando el error de «Onionsite not found».
El grupo había sido responsable de más de 360 ataques a empresas del sector público y privado de Estados Unidos, causando pérdidas de miles de millones de dólares al país. El grupo ganó al menos decenas de millones de dólares con su actividad, ya que algunas empresas afectadas les pagaron los rescates en bitcoin con tal de recuperar el dinero, como la cárnica JBS, que pagó 11 millones de dólares.
El fin del grupo llega casualmente semanas después de Vladimir Putin y Joe Biden hablasen sobre el grave problema que supone el ransomware. El cierre de REvil ha sido planeado, y su infraestructura ha sido desmantelada, ya sea por las autoridades o por los propios operadores del malware.
Esto deja a aquellos que se hayan visto infectados con el malware sin ninguna opción para recuperar el dinero, ya que, al estar el grupo desmantelado, no tienen opción de mandar la verificación de pago ni van a poder recibir las claves de vuelta, por lo que tendrán que esperar a que alguien cree herramientas de descifrado próximamente.
El ransomware usado en ataques a España es Ryuk
En España, por desgracia, la mayoría de ataques se han llevado a cabo con el ransomware Ryuk, que es mantenido por otro grupo distinto al que ha desaparecido. Además, Ryuk es el ransomware que más dinero ha conseguido en rescates, utilizando mecanismos de infección similares al de REvil.
Por ello, los ataques no van a desaparecer, y es de esperar incluso que haya un repunte en los ataques llevados a cabo con Ryuk, ya que junto con Maze, formaban hasta ahora el tridente de ransomware más usados en la red. Puede que veamos una caída temporal en este tipo de ataques debido a que estén asustados los demás grupos por posibles represalias, pero siempre hay algún grupo que acaba cogiendo el testigo en un sistema tan lucrativo como este.