El grupo de hackers REvil desaparece de la darkweb

Los sitios de la darkweb asociados con el grupo de hackers REvil han dejado de operar desde el martes en la mañana sin ningún aviso ni explicación. No se sabe cuál es la razón de la desaparición, pero se ha dado en un momento en que el grupo responsable de REvil estaba en la mira de autoridades y medios de comunicación por una serie de ataques de ransomware de alto perfil.

El cierre afecta al sitio oficial del grupo REvil, conocido como “The Happy Blog”, así como a la página que utilizan para recibir los pagos que exigían en sus ataques de ransomware. Al intentar ingresar a los sitios, se les muestra a los visitantes un mensaje que dice “No se ha encontrado ningún servidor con el nombre del host especificado”. Asimismo, los representantes del grupo de hackers han estado inactivos en los foros cibercriminales.

Esto significa que, por un lado, los ataques del grupo se han detenido, pero por otro, las víctimas de sus ataques de ransomware ya no tienen modo de pagar para recuperar su contenido. A pesar de que los expertos y autoridades no apoyan que se pague a los delincuentes porque esto sólo motiva y perpetúa este tipo de crímenes, muchas de las víctimas deciden hacerlo para recuperar el acceso a sus datos.

El grupo ha estado llamando la atención desde que hace un mes lanzó un ciberataque al proveedor de carne más grande del mundo, JBS SA., que interrumpió las actividades de la empresa y limitó el suministro de carne en diferentes partes del mundo. JBS terminó pagando un rescate de 11 millones de dólares para recuperar el acceso a sus datos.

No se sabe si la desaparición de los cibercriminales es resultado de alguna acción de las autoridades o si tiene que ver con una decisión estratégica defensiva u ofensiva del grupo. Hasta ahora ninguna autoridad ha declarado su participación en el cierre de los sitios, ni el grupo REvil ha informado sobre las razones.

Las teorías más comunes son que las autoridades de Rusia o Estados Unidos llevaron a cabo una operación para desmoronar la estructura que sostiene los ataques de REvil. Otra posibilidad es que los mismos hackers de REvil hayan cerrado sus operaciones para salir del ojo del huracán en el que se encontraban a raíz de sus ataques.

Pero también es posible que esta sea sólo una medida temporal. Brett Callow, especialista de la empresa de ciberseguridad Emsisoft, dijo que el sitio de REvil ya ha desaparecido antes y ha vuelto a activarse, así que es “demasiado pronto para sacar conclusiones”.

Fuentes

Multiple REvil ransomware sites are down on the dark web CNBC
The REvil Ransomware Hackers Have Gone Offline Forbes
Russia’s most aggressive ransomware group disappeared. It’s unclear who made that happen. The New York Times