AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Alemania identifica a dos ciudadanos rusos como cabecillas de GandCrab y REvil: implicaciones para la ciberseguridad europea**

admin

### 1. Introducción

La Oficina Federal de Policía Criminal de Alemania (Bundeskriminalamt, BKA) ha dado un paso relevante en la lucha contra el cibercrimen internacional al identificar a dos ciudadanos rusos como los presuntos líderes de las operaciones de ransomware GandCrab y REvil (también conocido como Sodinokibi), dos de las familias de ransomware más prolíficas y devastadoras de los últimos años. El anuncio, realizado a principios de junio de 2024, representa un hito en el esfuerzo coordinado entre agencias de seguridad y marca un precedente en la atribución de responsabilidades a individuos concretos en campañas de ransomware de alto perfil.

### 2. Contexto del Incidente o Vulnerabilidad

Entre 2019 y 2021, GandCrab y posteriormente REvil dominaron la escena del ransomware a nivel global, empleando el modelo Ransomware-as-a-Service (RaaS) y colaborando con afiliados para maximizar su alcance y eficacia. Alemania, junto con otros países europeos y estadounidenses, fue uno de los principales objetivos de estos grupos, que generaron pérdidas millonarias y afectaron a sectores críticos como la sanidad, las infraestructuras y la industria manufacturera.

Ambas operaciones han sido vinculadas a la ciberdelincuencia de origen ruso, con métodos sofisticados y una clara orientación al lucro económico. La atribución directa a dos individuos supone un avance respecto a anteriores investigaciones, en las que se solía identificar grupos o alias genéricos en foros de la dark web.

### 3. Detalles Técnicos

**CVE, Vectores de Ataque y TTPs:**
GandCrab y REvil explotaron múltiples vulnerabilidades conocidas en sistemas Windows y aplicaciones de terceros. Entre los CVE más explotados por estos grupos destacan:

– CVE-2018-8453: Escalada de privilegios en Windows.
– CVE-2019-2725: Vulnerabilidad en Oracle WebLogic.
– CVE-2019-11510: Fallo crítico en Pulse Secure VPN.
– CVE-2021-34527 (PrintNightmare): Utilizado por REvil para moverse lateralmente en entornos comprometidos.

Ambas familias de ransomware empleaban técnicas de acceso inicial basadas en phishing dirigido, explotación de RDP sin fortificar y abuso de credenciales robadas. Posteriormente, utilizaban frameworks como Cobalt Strike y Metasploit para la post-explotación, el movimiento lateral y la exfiltración de datos.

**MITRE ATT&CK:**
– TA0001 Initial Access (Phishing, Exploitation of Public-Facing Applications)
– TA0005 Defense Evasion (Obfuscated Files or Information)
– TA0006 Credential Access (Brute Force, Credential Dumping)
– TA0011 Command and Control (C2 Channels sobre HTTPS y DNS)

**Indicadores de Compromiso (IoC):**
– Dominios y direcciones IP asociadas a infraestructuras de C2 conocidas.
– Hashes de archivos ejecutables de GandCrab y REvil.
– Patrones de cifrado de archivos con extensiones .CRAB, .GDCB, .REvil, .Sodin.

### 4. Impacto y Riesgos

Entre 2019 y 2021, GandCrab y REvil se atribuyeron cerca del 40% de los ataques de ransomware reportados en Europa, generando demandas de rescate superiores a los 200 millones de dólares anuales. La sofisticación de sus técnicas, junto con la rapidez en la explotación de vulnerabilidades día cero, supuso un reto constante para equipos SOC y administradores de sistemas.

El impacto incluyó interrupciones de servicios críticos, filtración y venta de datos confidenciales, y cuantiosas multas regulatorias bajo el marco del RGPD (Reglamento General de Protección de Datos). Empresas afectadas experimentaron, de media, un tiempo de inactividad de 16 días y pérdidas económicas directas e indirectas que superaron los 6 millones de euros por incidente en grandes organizaciones.

### 5. Medidas de Mitigación y Recomendaciones

Las recomendaciones actuales para mitigar amenazas similares, y en particular para evitar infecciones de ransomware del tipo GandCrab/REvil, incluyen:

– Aplicación inmediata de parches de seguridad para sistemas operativos y aplicaciones expuestas a Internet (priorizar CVEs citados).
– Segmentación de redes y limitación de privilegios administrativos.
– Monitorización continua de logs y detección de movimientos laterales y exfiltración de datos (EDR/NDR).
– Implementación de soluciones de backup offsite y pruebas regulares de restauración.
– Formación continua en concienciación de ciberseguridad para empleados, especialmente ante campañas de spear-phishing.
– Adopción de frameworks de ciberseguridad como NIST y cumplimiento de NIS2 para operadores de servicios esenciales.

### 6. Opinión de Expertos

Especialistas en ciberinteligencia y respuesta a incidentes, como los equipos de Europol y la BSI alemana, destacan la importancia de la atribución individual para el desmantelamiento de redes de ransomware. “La identificación de líderes concretos permite avanzar en la cooperación internacional y sentar las bases para futuras extradiciones o bloqueos económicos”, apunta un analista de Kaspersky. Asimismo, se subraya la necesidad de continuar con el intercambio de información sobre IoCs y TTPs en plataformas como MISP o VirusTotal Enterprise.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la imputación de estos individuos supone un posible descenso en la actividad de las variantes más conocidas de ransomware, aunque el vacío podría ser rápidamente ocupado por nuevos actores o forks del código fuente original. Los CISOs deben mantener una postura de defensa en profundidad, revisando planes de contingencia, cumplimiento normativo bajo RGPD y NIS2, e invirtiendo en soluciones avanzadas de detección y respuesta.

Los usuarios finales, por su parte, deben extremar la precaución ante correos sospechosos y mantener sus dispositivos actualizados, ya que los atacantes suelen pivotar rápidamente a nuevos vectores.

### 8. Conclusiones

La identificación de los presuntos líderes de GandCrab y REvil representa un avance significativo en la persecución del cibercrimen internacional y envía un mensaje claro a los operadores de ransomware: la atribución y la cooperación policial internacional están alcanzando nuevos niveles de eficacia. Sin embargo, el ecosistema de ransomware sigue siendo dinámico y resiliente, por lo que la vigilancia y la preparación técnica deben seguir siendo prioritarias para todos los actores del sector.

(Fuente: www.bleepingcomputer.com)