La organización de ransomware como servicio (RaaS) REvil desapareció completamente de internet. Todos los sitios web administrados por esta red de cibercriminales se volvieron inaccesibles repentinamente, lo que genera especulaciones sobre si el grupo ha cesado sus actividades.

REvil, vinculada a Rusia y presuntamente detrás del reciente ataque a la empresa de TI Kaseya, una de las campañas de ransomware más grandes que se han visto hasta ahora, ha recaudado decenas de millones de dólares en pagos de rescates.

Los sitios que manejaba la organización son considerados no confiables e inestables, por lo que no está claro si la desaparición de estos es una casualidad, si la propia REvil eliminó sus páginas o si se trata de alguien más que decidió ‘borrarlos’.

Estos consisten en un portal de pagos y su blog, en el que hacían publicaciones sobre sus ataques y sus víctimas. «Los recursos relacionados con REvil, que incluyen un blog con información sobre sus ataques, así como sitios para realizar depósitos o pagos, fueron desconectados», detalló Vladimir Kuskov, jefe de exploración de amenazas de Kaspersky.

Kaseya confirma hasta 1,500 víctimas por ataque de ransomware

¿REvil terminó?

Este hecho no significa necesariamente que REvil haya llegado a su fin, destacan los expertos, como la firma de seguridad Check Point Software. Los actos de desaparición son comunes en el mundo del ransomware, donde los grupos criminales tienden a esfumarse y cambiar de nombre e identidad cuando comienzan a atraer demasiada atención.

Este es el caso de REvil, red que el gobierno de Estados Unidos ya tenía en la mira y que, tras el ataque masivo a Kaseya, impulsó la presión a Washington para que tome medidas contra este grupo y otros similares.

“Recomendamos no sacar conclusiones inmediatas, ya que aún es temprano, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto”, dijo Ekram Ahmed, portavoz de Check Point, de acuerdo con MIT Technology Review.

Por su parte, Kasperky apunta a que «aún no está claro el motivo por el cual los sitios desaparecieron, sin embargo, las circunstancias sugieren que REvil podría haber interrumpido sus operaciones, siguiendo el camino que tomaron DarkSide, Avaddon y Babuk. Sin embargo, al igual que otros grupos, que reciben más atención de las autoridades de la que querrían para sentirse seguros, es probable que esta interrupción de sus operaciones sea solo temporal y que regresen eventualmente al mercado con su nombre actual o con uno nuevo», de acuerdo con Kuskov.

¿Cómo logró su masividad el ataque a Kaseya?