La semana pasada, la infraestructura de REvil (Sodinokibi) devuelto en línea después de meses de inactividad, y ahora el ransomware ha reanudado los ataques.
El caso es que en julio 2021, el grupo de pirateo se desconectó sin dar ninguna razón. Luego se trataba de cerrar toda una red de sitios convencionales y de la red oscura que se utilizaban para negociar un rescate., drenar datos robados a las víctimas, así como la infraestructura interna del ransomware.
Déjame recordarte que no mucho antes de esto, a principios de julio 2021, Operadores REvil realizados un ataque a gran escala sobre los clientes del conocido proveedor de soluciones MSP Kaseya. para el ataque, Los piratas informáticos utilizaron vulnerabilidades de día 0 en el producto de la empresa. (VSA).
El problema fue que la mayoría de los servidores VSA afectados eran utilizados por proveedores de MSP., eso es, empresas que gestionan la infraestructura de otros clientes. Esto significa que los ciberdelincuentes han implementado el ransomware. en miles de redes corporativas.
Según cifras oficiales, el compromiso afectado sobre 60 Caja registradora de clientes, a través de cuya infraestructura los piratas informáticos pudieron cifrar aproximadamente 800-1500 redes corporativas.
Además, poco antes del ataque a los clientes, Kaseya REvil apareció en las portadas de muchas publicaciones como atacó a JBS, El mayor proveedor mundial de carne vacuna y avícola., así como el segundo mayor productor de carne de cerdo. La empresa opera en EE.UU., Australia, Canada, Gran Bretaña y así sucesivamente., sirviendo a clientes de 190 países alrededor del mundo.
Desde hace tiempo se sabe que REvil es un grupo de hackers de habla rusa, El presidente estadounidense Joe Biden en una conversación telefónica llamado al presidente ruso Vladimir Putin para detener los ataques de piratas informáticos ransomware que operan desde el territorio de la Federación Rusa. Biden dijo que si Rusia no toma medidas después de eso, Estados Unidos se verá obligado a asumirlo por su cuenta..
Después de cerrar toda la infraestructura del grupo de hackers., Muchos expertos creían que el grupo se había disuelto y ahora cambiará su nombre., en un intento de confundir a las agencias de aplicación de la ley y las empresas de seguridad de la información en los Estados Unidos.. Al mismo tiempo, Cajero obtenido de alguna manera una clave universal para descifrar a sus clientes’ datos. Luego, algunos sugirieron que los agentes del orden rusos recibieron la clave de descifrado de los atacantes y se la entregaron al FBI como gesto de buena voluntad..
Ahora la computadora suena escribe que hasta septiembre 9 no hubo evidencia de nuevos ataques y que REvil se reanudó por completo. Sin embargo, finales de la semana pasada, alguien subió una nueva muestra de REvil a VirusTotal, fechado el 4 de septiembre. Y poco después, Los piratas informáticos publicaron capturas de pantalla de los datos robados de la nueva víctima en su sitio web en la red oscura..
La publicación también señala que en el pasado, un representante del grupo, conocido con el sobrenombre de Desconocido o UNKN, anuncios publicados o las últimas noticias sobre las operaciones de REvil en foros de hackers. Ahora un nuevo representante del ransomware., quien se registró en estos sitios como REvil, Regresó a estas publicaciones y explicó que, según el grupo de hackers, Desconocido fue arrestado y los servidores del grupo fueron comprometidos.
Sin embargo, Las propias fuentes de Bleeping Computer dijeron a los medios que la desaparición de REvil fue una sorpresa para las autoridades.. Por ejemplo, la publicación proporciona una captura de pantalla de un chat entre un investigador de seguridad de la información y un representante de REvil, donde este último dice que los operadores de ransomware simplemente se tomaron un descanso.
Déjame recordarte también que escribimos eso. Los operadores REvil chantajearon a Apple.