REvil fue el responsable de los ataques a Colonial Pipeline y Kaseya
REvil fue el responsable de los ataques a Colonial Pipeline y Kaseya | Fuente: Unsplash

Un duro golpe contra la ciberdelincuencia. El FBI, en operación conjunta con varios países, pudo dar de baja al peligroso colectivo REvil, agrupación detrás de varios ataques de ransomware en Estados Unidos, incluyendo las incursiones contra Colonial Pipeline y Kaseya.

De acuerdo con Reuters, las autoridades pudieron rastrear al grupo delictivo mediante una copia de seguridad del sitio “Happy Blog”, tablero de comunicados de la agrupación. A mediados de setiembre, REvil decidió regresar a la actividad, tras una huida temporal en la que borró todo vestigio suyo en Internet.

Sin embargo, debieron restaurar las publicaciones del blog desde una copia de seguridad guardada en un servidor comprometido, un error de cálculo aprovechado por el FBI. “Estamos realmente comprometidos en estas significativas acciones disruptivas contra estos grupos”, señaló Tom Kellerman, jefe de estrategias de ciberseguridad en VMWare.

“Me están buscando”

Tras el ataque a Kaseya, el FBI obtuvo una clave de descifrado universal que permitió a los infectados recuperar sus archivos sin pagar un rescate a REvil. Esa misma llave fue retenida como parte del operativo de seguimiento del FBI, y sirvió para piratear la infraestructura de la red del grupo criminal y, al menos, tomar control de uno de los servidores.

"0_neday", uno de los líderes del grupo, reconoció esta brecha de seguridad "El servidor estaba comprometido y me estaban buscando", escribió en un foro de ciberdelincuencia el fin de semana pasado. "Buena suerte a todos, me voy".

"La banda de ransomware REvil restauró la infraestructura a partir de las copias de seguridad bajo el supuesto de que no se habían visto comprometidas", dijo Oleg Skulkin, subdirector del laboratorio forense de la empresa de seguridad liderada por Rusia Group-IB. "Irónicamente, la táctica favorita de la pandilla de comprometer las copias de seguridad se volvió en su contra".

De acuerdo con fuentes consultadas por Reuters, la operación de seguimiento se mantiene activa.