El misterioso grupo responsable del ¨²ltimo gran ciberataque en EE UU desaparece de internet

Las webs administradas en el internet oscuro por el grupo de cibercriminales REvil, responsable de un gigantesco ataque de ramsonware que ha afectado en los ¨²ltimos d¨ªas a cientos de empresas en todo el mundo, se volvieron s¨²bitamente inaccesibles este martes, seg¨²n constataron varios expertos en ciberseguridad. El incidente se produce despu¨¦s de que el pasado viernes el presidente estadounidense, Joe Biden, sugiriera que su pa¨ªs podr¨ªa tomar medidas dr¨¢sticas contra los ataques llevados a cabo desde servidores rusos.

El grupo cibercriminal, tambi¨¦n conocido como Sodinokibi, hab¨ªa recabado decenas de millones de d¨®lares en pagos de rescate a cambio de restaurar los sistemas inform¨¢ticos saboteados, seg¨²n informa la agencia Reuters. El ataque comenz¨® el pasado 2 de julio cuando los hakcers se infiltraron en la empresa de tecnolog¨ªa Kaseya, que proporciona servicios de administraci¨®n de redes y utilizaron sus sistemas para propagar el programa malicioso. El virus ha alcanzado desde entonces a entre 800 y 1.500 empresas, la mayor¨ªa en Estados Unidos. El ransomware es un tipo de software malicioso que restringe el acceso a un sistema inform¨¢tico hasta que se pague un rescate.

The New York Times establece tres hip¨®tesis sobre la s¨²bita desaparici¨®n de las p¨¢ginas de REvil. La primera es que el presidente Biden haya ordenado al cibercomando de los Estados Unidos, que trabaja agencias como el FBI, tumbar las p¨¢ginas del grupo de cibercriminales. La segunda es que el apag¨®n de las webs haya sido ordenado por el presidente ruso, Vladimir Putin, como un gesto tras las advertencias de Biden, y en v¨ªsperas de una comisi¨®n bilateral para hablar de los ciberataques. La tercera es que el propio grupo criminal haya decidido borrarse temporalmente de internet para no caer en el fuego cruzado entre ambos presidentes. Eso fue lo que hizo DarkSide, otro grupo con sede en Rusia, responsable del ataque contra el oleoducto Colonial Pipeline que paraliz¨® buena parte del suministro de combustible en la costa este de EE UU el pasado mayo.

¡°En realidad es dif¨ªcil saber porque se han desconectado¡±, explica Igor Unanue CTO de la empresa de ciberseguridad S21Sec. ¡°Es probable que solo est¨¦n actualizando sus sistemas, no puede saberse que ha pasado hasta que ellos mismos lo expliquen, si lo hacen. Hay muchos grupos que se desconectan y vuelven otra vez¡±, cuenta. Unanue asegura que este ciberataque ha sido el tercero m¨¢s grave en lo que va de a?o, de entre los grupos que publican en internet sus actividades. ¡°Cada vez los ciberataques son m¨¢s da?inos¡±, asegura. ¡°Antes el ransonware ten¨ªa como finalidad pedir un rescate, ahora tambi¨¦n se chantajea con datos confidenciales y puede ser un m¨¦todo de espionaje industrial¡±.

Alba Villalba especialista en el ¨¢rea de ciberinteligencia, explica que rastrear el programa no permite saber qui¨¦nes son las personas que est¨¢n detr¨¢s de la acci¨®n criminal, porque esta puede ser por encargo. ¡°REvil ha desplegado el ataque, pero pueden haber alquilado el programa¡±, cuenta. En el caso de Kaseya ¡°no han atacado a las empresas en s¨ª, sino que han atacado un proveedor de servicios, les han infectado este software y a trav¨¦s de una cadena de infecciones han conseguido llegar a cientos de compa?¨ªa. Claramente el objetivo es econ¨®mico, pero eso no quita para que puedan contar con patrocinio estatal¡± afirma.

Kurtis Minder, fundador de la firma de ciberseguridad GroupSense, asegur¨® que si el apag¨®n de las p¨¢ginas se deb¨ªa a una acci¨®n de EE UU eso plantear¨ªa algunas cuestiones preocupantes. ¡°Si se trataba de una ofensiva cibern¨¦tica organizada, espero que hayan considerado los posibles da?os colaterales¡±, dijo en declaraciones citadas por Reuters. Los ciberdelincuentes se hacen con las llaves de los datos cifrados de sus v¨ªctimas y si estas llaves se hubieran perdido o destruido ¡°muchas compa?¨ªas tendr¨¢n dificultades para recuperarse¡±.

¡°Hay indicios de que REvil fue v¨ªctima del desmantelamiento planificado de su infraestructura, ya sea por los propios operadores, o por la industria, o por las autoridades¡±, asegur¨® por su parte John Hultquist, de la compa?¨ªa Mandiant Threat Intelligence, en un mensaje a AFP. Un informe reciente de IBM Security X-Force identific¨® a Sodinokibi como el grupo m¨¢s potente de ciberdelincuentes de ransomware, y le atribuy¨® el 29% de dichos ciberataques en 2020.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter o apuntarte aqu¨ª para recibir nuestra newsletter semanal.