La policía alemana desvela la identidad de dos líderes clave del ransomware REvil
Introducción
En un importante avance para la lucha internacional contra el cibercrimen, la Oficina Federal de Policía Criminal de Alemania (Bundeskriminalamt, BKA) ha logrado identificar y desvelar la verdadera identidad de dos figuras centrales vinculadas a la operación de ransomware como servicio (RaaS) REvil, también conocida como Sodinokibi. Esta organización, que ha sido responsable de algunos de los ataques de ransomware más devastadores de los últimos años, había mantenido en secreto la identidad de sus líderes, dificultando los esfuerzos de persecución y desarticulación por parte de las fuerzas del orden y los equipos de respuesta a incidentes de todo el mundo.
Contexto del Incidente o Vulnerabilidad
REvil, cuyo nombre deriva de «Ransomware Evil», irrumpió en la escena del cibercrimen en abril de 2019 y rápidamente se consolidó como uno de los grupos RaaS más activos y temidos. El modelo RaaS permite a afiliados externos lanzar ataques utilizando la infraestructura y el código del grupo a cambio de un porcentaje del rescate cobrado. REvil se distinguió por su profesionalización, escalabilidad y brutal eficacia, llegando a exigir rescates superiores a los 70 millones de dólares, como en el conocido ataque a Kaseya en 2021.
El grupo operaba mediante foros clandestinos como XSS, donde reclutaba afiliados y anunciaba sus “servicios”. Uno de los principales representantes públicos de REvil, conocido bajo el alias “UNKN”, fue identificado recientemente por la BKA como una de las piezas clave en la logística y expansión internacional del grupo.
Detalles Técnicos
El ransomware REvil/Sodinokibi ha sido ampliamente documentado en bases de datos de vulnerabilidades, siendo asociado a múltiples CVE explotadas en ataques, como CVE-2021-30116 (vulnerabilidad en Kaseya VSA) y CVE-2019-2725 (vulnerabilidad en Oracle WebLogic). Los vectores de ataque más comunes incluían spear-phishing, explotación de accesos RDP sin protección y ataques a cadenas de suministro de software.
Desde el punto de vista de TTPs (Tactics, Techniques, and Procedures), según el marco MITRE ATT&CK, REvil ha sido relacionado con técnicas como:
– TA0001 – Initial Access: Spearphishing Attachment, Exploit Public-Facing Application
– TA0002 – Execution: User Execution, Command and Scripting Interpreter
– TA0003 – Persistence: Boot or Logon Autostart Execution
– TA0005 – Defense Evasion: Obfuscated Files or Information, Indicator Removal on Host
– TA0011 – Command and Control: Application Layer Protocol
Indicadores de Compromiso (IoC) típicos incluían hashes de archivos maliciosos, direcciones de C2 en la darknet, y patrones de cifrado de archivos. Frameworks como Cobalt Strike y Metasploit han sido empleados tanto por el grupo como por sus afiliados para moverse lateralmente y mantener persistencia en las redes comprometidas.
Impacto y Riesgos
El impacto de REvil ha sido masivo: se estima que, entre 2019 y 2021, el grupo y sus afiliados han extorsionado a cientos de organizaciones en más de 30 países, con pérdidas económicas que superan los 200 millones de dólares. Sectores clave como manufactura, servicios financieros, salud y, especialmente, la cadena de suministro tecnológica, han sido objetivos prioritarios. Las técnicas de doble extorsión, donde además de cifrar los datos se amenaza con su publicación, han elevado el riesgo reputacional y legal para las víctimas.
La legislación europea (GDPR, NIS2) obliga a las empresas a notificar incidentes de seguridad que puedan afectar a datos personales o a la continuidad del servicio, y la exposición a ransomware como REvil supone un riesgo claro de sanciones administrativas y daños a la imagen corporativa.
Medidas de Mitigación y Recomendaciones
De cara a la mitigación, es fundamental:
– Mantener actualizado el software y aplicar parches críticos (especialmente en aplicaciones expuestas a Internet).
– Restringir y monitorizar el acceso RDP y otros servicios remotos.
– Implementar autenticación multifactor (MFA) para accesos privilegiados.
– Monitorizar indicadores de compromiso conocidos y emplear EDR/antivirus con capacidad de respuesta automática.
– Realizar backups seguros y testados regularmente, desconectados de la red principal.
– Concienciar a los empleados sobre phishing y técnicas de ingeniería social.
– Disponer de un plan de respuesta a incidentes adaptado y probado.
Opinión de Expertos
Varios analistas de ciberinteligencia han subrayado la importancia de la identificación de los líderes de REvil. “La atribución efectiva es un paso clave para desmantelar las redes RaaS y desincentivar la reincidencia delictiva”, afirma un investigador de Kaspersky. Por su parte, responsables de respuesta a incidentes de S21sec y Check Point recalcan que “la colaboración internacional y el intercambio de información han sido esenciales para romper el anonimato de estos actores”.
Implicaciones para Empresas y Usuarios
Las empresas deben considerar que la profesionalización del cibercrimen es una tendencia al alza. La desarticulación de REvil no implica la desaparición del riesgo: otras operaciones RaaS (LockBit, BlackCat, Cl0p) continúan activas y perfeccionando sus técnicas. Para los CISOs y responsables de seguridad, es crucial reforzar la estrategia de ciberresiliencia, actualizar los procedimientos de respuesta y realizar simulacros de crisis. Los usuarios, por su parte, deben ser conscientes de la importancia de la higiene digital y la protección de credenciales.
Conclusiones
La identificación de los líderes de REvil por parte de la BKA marca un hito en la lucha contra el ransomware, demostrando que el anonimato en la darknet no es absoluto. Sin embargo, la amenaza persiste y evoluciona. La colaboración internacional, el intercambio de información técnica y la mejora continua de las defensas seguirán siendo clave para reducir el impacto de este tipo de operaciones criminales en el tejido empresarial y la sociedad digital europea.
(Fuente: feeds.feedburner.com)