AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Rusia libera a miembros de REvil tras condena por carding y distribución de malware**

admin

### 1. Introducción

En enero de 2022, las autoridades rusas anunciaron la detención de varios supuestos miembros de REvil (Sodinokibi), uno de los grupos de ransomware más prolíficos y sofisticados de los últimos años. Sin embargo, a mediados de 2024 se ha confirmado la liberación de cuatro de estos detenidos, tras admitir cargos de fraude con tarjetas (carding) y distribución de malware. El tribunal consideró que la condena ya había sido cumplida con el tiempo pasado en prisión preventiva. Este suceso genera preocupación y debate en la comunidad internacional de ciberseguridad sobre la efectividad de las medidas judiciales contra el cibercrimen organizado y su impacto en la amenaza persistente del ransomware.

### 2. Contexto del Incidente

REvil, también conocido como Sodinokibi, ha estado vinculado a múltiples ataques de alto perfil desde su aparición en 2019, afectando a empresas de todos los sectores a nivel mundial. El grupo operaba bajo el modelo Ransomware-as-a-Service (RaaS), facilitando que afiliados externos desplegaran el malware a cambio de una parte del rescate. Según los informes de Kaspersky y Group-IB, sus actividades se intensificaron en 2020 y 2021, con incidentes tan notorios como el ataque a Kaseya y a la empresa cárnica JBS.

En enero de 2022, el Servicio Federal de Seguridad ruso (FSB) comunicó la detención de 14 presuntos miembros de REvil, incautando activos por valor de 426 millones de rublos, 600.000 dólares, 500.000 euros y 20 vehículos de lujo, además de criptomonedas y equipos informáticos. Esta operación fue publicitada como una muestra de colaboración internacional, especialmente con Estados Unidos, tras la presión diplomática ejercida por la escalada de ataques a infraestructuras críticas.

### 3. Detalles Técnicos

Aunque la detención se presentó como un golpe directo contra el ransomware, los cargos finalmente presentados no incluyeron específicamente ataques de cifrado de datos, extorsión o ataques dirigidos a infraestructuras críticas, sino delitos de carding y distribución de malware. El carding consiste en el uso fraudulento de datos de tarjetas de crédito robadas, mientras que la distribución de malware abarca la propagación de software malicioso, en este caso presuntamente a través de campañas de phishing, exploits de RDP y kits de exploits.

No se han detallado los CVE específicos explotados en estos cargos, aunque históricamente REvil ha aprovechado vulnerabilidades como CVE-2019-2725 (Oracle WebLogic), CVE-2021-30116 (Kaseya VSA) y vulnerabilidades de RDP sin parchear. Los TTPs (Tactics, Techniques and Procedures) asociados a REvil se corresponden con las técnicas MITRE ATT&CK TA0001 (Initial Access), TA0002 (Execution) y TA0011 (Command and Control), empleando herramientas como Cobalt Strike para el movimiento lateral y la persistencia.

A nivel de IoC, la infraestructura de REvil incluía dominios onion, direcciones IP asociadas a servidores de C2, y hash SHA-256 de archivos maliciosos. Según reportes de Recorded Future, parte del arsenal tecnológico del grupo fue detectado en frameworks como Metasploit y herramientas personalizadas para la evasión de EDR.

### 4. Impacto y Riesgos

La liberación de estos individuos plantea riesgos claros para la ciberseguridad global. Si bien las condenas se han limitado a carding y distribución de malware, sus habilidades y conexiones con el ecosistema del ransomware persisten. Según datos de Chainalysis, en 2021 los pagos por ransomware superaron los 600 millones de dólares, siendo REvil responsable de una proporción significativa.

El riesgo de que estos actores retomen actividades ilícitas es alto, especialmente considerando la falta de acuerdos de extradición entre Rusia y la Unión Europea o EE. UU. Además, la liberación puede ser interpretada por otros grupos como un mensaje de impunidad, incentivando la actividad delictiva y dificultando la aplicación del marco legal internacional, incluyendo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2.

### 5. Medidas de Mitigación y Recomendaciones

Desde una perspectiva técnica y operativa, se recomienda:

– **Actualización y parcheo**: Mantener todos los sistemas actualizados, especialmente servicios expuestos a internet (RDP, VPN, servidores web).
– **Segmentación de red**: Limitar el movimiento lateral y la propagación de ransomware mediante la segmentación de redes y el uso de VLANs.
– **Monitorización y detección**: Implementar soluciones EDR y SIEM con capacidad de correlación de IoC asociados a REvil y otros grupos RaaS.
– **Backups y recuperación**: Establecer políticas de backup offline y pruebas periódicas de restauración.
– **Concienciación**: Programas de formación para empleados sobre phishing y riesgos asociados al uso de credenciales.

A nivel legal y de gestión, es crítico revisar los procedimientos de notificación de incidentes según GDPR y NIS2, así como los acuerdos con proveedores y aseguradoras de ciberseguridad.

### 6. Opinión de Expertos

Expertos como Dmitry Smilyanets (Recorded Future) y Brett Callow (Emsisoft) han manifestado preocupación por la liberación de los miembros de REvil, al considerar que la respuesta judicial rusa podría ser insuficiente para disuadir a los cibercriminales. Se señala la necesidad de una mayor cooperación internacional y un endurecimiento de las sanciones para limitar la capacidad operativa de estos grupos, especialmente en jurisdicciones con limitada extradición.

### 7. Implicaciones para Empresas y Usuarios

La reincorporación de actores experimentados al cibercrimen eleva el nivel de amenaza para empresas europeas y estadounidenses. Las organizaciones deben reforzar su postura defensiva y prepararse para campañas más sofisticadas, posiblemente orquestadas por exmiembros de REvil u otros grupos RaaS. Para las víctimas, la ausencia de consecuencias significativas para los criminales incrementa la presión para pagar rescates, alimentando el ciclo de extorsión.

### 8. Conclusiones

La liberación de los cuatro miembros de REvil por parte de las autoridades rusas evidencia las limitaciones de la justicia penal frente al cibercrimen transnacional. El caso subraya la necesidad de una respuesta coordinada, tanto técnica como legal, para mitigar el impacto de grupos como REvil y garantizar la seguridad de infraestructuras críticas y datos personales, en cumplimiento de la normativa europea vigente.

(Fuente: www.bleepingcomputer.com)