News

El grupo de hackers REvil desaparece de la darkweb

Los sitios de la darkweb asociados con el grupo de hackers REvil han dejado de operar desde el martes en la mañana sin ningún aviso ni explicación. No se sabe cuál es la razón de la desaparición, pero se ha dado en un momento en que el grupo responsable de REvil estaba en la mira de autoridades y medios de comunicación por una serie de ataques de ransomware de alto perfil.

El cierre afecta al sitio oficial del grupo REvil, conocido como “The Happy Blog”, así como a la página que utilizan para recibir los pagos que exigían en sus ataques de ransomware. Al intentar ingresar a los sitios, se les muestra a los visitantes un mensaje que dice “No se ha encontrado ningún servidor con el nombre del host especificado”. Asimismo, los representantes del grupo de hackers han estado inactivos en los foros cibercriminales.

Esto significa que, por un lado, los ataques del grupo se han detenido, pero por otro, las víctimas de sus ataques de ransomware ya no tienen modo de pagar para recuperar su contenido. A pesar de que los expertos y autoridades no apoyan que se pague a los delincuentes porque esto sólo motiva y perpetúa este tipo de crímenes, muchas de las víctimas deciden hacerlo para recuperar el acceso a sus datos.

El grupo ha estado llamando la atención desde que hace un mes lanzó un ciberataque al proveedor de carne más grande del mundo, JBS SA., que interrumpió las actividades de la empresa y limitó el suministro de carne en diferentes partes del mundo. JBS terminó pagando un rescate de 11 millones de dólares para recuperar el acceso a sus datos.

No se sabe si la desaparición de los cibercriminales es resultado de alguna acción de las autoridades o si tiene que ver con una decisión estratégica defensiva u ofensiva del grupo. Hasta ahora ninguna autoridad ha declarado su participación en el cierre de los sitios, ni el grupo REvil ha informado sobre las razones.

Las teorías más comunes son que las autoridades de Rusia o Estados Unidos llevaron a cabo una operación para desmoronar la estructura que sostiene los ataques de REvil. Otra posibilidad es que los mismos hackers de REvil hayan cerrado sus operaciones para salir del ojo del huracán en el que se encontraban a raíz de sus ataques.

Pero también es posible que esta sea sólo una medida temporal. Brett Callow, especialista de la empresa de ciberseguridad Emsisoft, dijo que el sitio de REvil ya ha desaparecido antes y ha vuelto a activarse, así que es “demasiado pronto para sacar conclusiones”.

Fuentes

Multiple REvil ransomware sites are down on the dark web CNBC
The REvil Ransomware Hackers Have Gone Offline Forbes
Russia’s most aggressive ransomware group disappeared. It’s unclear who made that happen. The New York Times

El grupo de hackers REvil desaparece de la darkweb

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada