Las tres teorías detrás de la misteriosa desaparición del grupo de hackers ruso REvil tras los ciberataques contra EEUU

El viernes pasado, en el marco de una conversación telefónica que duró cerca de una hora, el presidente de Estados Unidos, Joe Biden, le exigió a Vladimir Putin que “tome medidas” contra los ciberataques con “ransomware” ejecutados desde Rusia. Durante la charla el jefe de Estado norteamericano fue enfático: le advirtió a su homólogo que la Casa Blanca tomaría “cualquier acción que sea necesaria” contra esas actividades.

Días antes, Biden se había reunido con su equipo de seguridad nacional para analizar posibles respuestas a los ciberataques perpetrados contra compañías norteamericanas. El último fue el ejecutado contra la firma Kaseya, que brinda servicios a más de 40.000 organizaciones en todo el mundo.

Expertos y autoridades locales apuntaron como responsable al grupo REvil -abreviatura de “Ransomware evil”-, de origen ruso, que solicitó una recompensa de 70 millones de dólares para permitir que las corporaciones afectadas puedan retomar las operaciones.

The New York Times informó este martes que el grupo de hackers misteriosamente desapareció, los sitios de la organización criminal ya no estaban en la web oscura. Entre ellos se encontraba el “blog feliz”, que era de acceso público y contenía una lista de sus víctimas y los sitios personalizados en los que las víctimas negociaban con REvil para desbloquear sus datos.

Los operadores de REvil publicaron en su blog que más de un millón de dispositivos habían sido infectados por la actualización maliciosa. También dijeron que estaban dispuestos a proporcionar un desencriptador universal para las víctimas del ataque, pero a cambio de que se les pagaran 70 millones de dólares en bitcoins.

Ante esta situación, el diario neoyorquino planteó tres teorías detrás de la extraña desaparición del grupo hacker ruso.

La primera apunta a una posible orden de Biden al mando cibernético de Estados Unidos, en colaboración con diferentes agencias federales, como el FBI, de neutralizar las operaciones de la organización criminal. The New York Times recuerda que el año pasado el mando cibernético demostró que contaba con esa capacidad, luego de paralizar a un grupo de ransomware que se temía que pudiera congelar los registros de los votantes u otros datos electorales en los comicios presidenciales de 2020.

La semana pasada, Jen Psaki, portavoz de la Casa Blanca, afirmó que REvil “opera desde Rusia con filiales en todo el mundo”, y subrayó que Estados Unidos ha sido “claro” en sus conversaciones con el Gobierno ruso, al que acusa de no responder de forma contundente a los ciberataques contra sus compañías: “Si el Gobierno ruso no puede o no quiere tomar medidas contra los actores criminales que residen en Rusia, nosotros lo haremos, o al menos nos reservamos el derecho de tomar medidas por nuestra cuenta”.

La segunda teoría es que Putin haya sido quien diera la orden para que el grupo abandonara sus actividades, tras las contundentes advertencias de Biden, quien también abordó la preocupación de Estados Unidos sobre los ciberataques rusos durante la cumbre que mantuvieron ambos mandatarios el pasado 16 de junio en Ginebra.

La otra opción que evalúan las autoridades es que REvil, ante la creciente tensión entre Washington y Moscú, se haya retirado para evitar quedar en medio del fuego cruzado entre los presidentes. Eso es lo que hizo otro grupo hacker con base en Rusia, Darkside, tras el ataque de ransomware al operador de oleoductos Colonial Pipeline.

No obstante, varios especialistas alertaron que podría tratarse de una maniobra de distracción, y que los hackers de Darkside vuelvan a operar bajo otro nombre. De ser así, advirtieron, podría ocurrir lo mismo con REvil.

El ciberataque de Kaseya se produjo después de los sufridos en los últimos meses en Estados Unidos como el de Colonial, la mayor red de oleoductos del país, y JBS, el procesador de carne más grande del mundo, que fueron víctimas de operaciones similares por piratas informáticos. Debido al gran número de empresas potencialmente afectadas, el ataque podría ser uno de los mayores de la historia.

En lugar de un ataque cuidadoso y dirigido a una sola gran empresa, este hackeo parece haber utilizado proveedores de servicios gestionados para propagarse indiscriminadamente a través de una enorme red de empresas más pequeñas. A diferencia de la mayoría de los ataques de ransomware, no parece que REvil haya intentado robar datos sensibles antes de bloquear a sus víctimas, dijo a The Washington Post Fabian Wosar, director de tecnología de Emsisoft, una empresa que proporciona software y asesoramiento para ayudar a las organizaciones a defenderse de los ataques de ransomware.

Las agencias estadounidenses y británicas revelaron esta semana detalles de los métodos de “fuerza bruta” que, según denunciaron, han sido utilizados por la inteligencia rusa para tratar de entrar en los servicios en la nube de cientos de agencias gubernamentales, empresas de energía y otras organizaciones.

Una advertencia publicada por la Agencia de Seguridad Nacional de Estados Unidos describe los ataques realizados por agentes vinculados al GRU, la agencia de inteligencia militar rusa, que ha sido vinculada previamente a grandes ciberataques en el extranjero y a los esfuerzos por perturbar las elecciones estadounidenses de 2016 y 2020.

En un comunicado, el director de ciberseguridad de la NSA, Rob Joyce, dijo que la campaña estaba “probablemente en curso, a escala global.”

Los ataques de fuerza bruta consisten en el abordaje automatizado de sitios con posibles contraseñas hasta que los hackers consiguen acceder. El aviso insta a las empresas a adoptar métodos que los expertos consideran de sentido común en materia de seguridad, como el uso de la autenticación de dos factores y la exigencia de contraseñas seguras.

Seguir leyendo: