Claudia Rincón Pérez, directora y fundadora de Factoría IT dice que poco después de lanzar un importante ataque a la cadena de suministro en julio de 2021, la banda de ransomware REvil se desconectó. La infraestructura del grupo, incluidos sus portales de superficie y web oscura utilizados para negociaciones de rescate y filtraciones de datos, se cerró el 12 de julio, según Bleeping Computer . El foro ruso de delitos digitales XSS prohibió a Unknown, un usuario que se cree que era un representante de REvil, poco tiempo después.
Antes de esto, REvil era una de las bandas de ransomware más prolíficas y de alto perfil. En marzo de 2021, por ejemplo, la operación llamó la atención al exigir 50 millones de dólares a un fabricante de computadoras taiwanés. En abril, intentó extorsionar a un gigante tecnológico durante un evento de revelación de productos en vivo. También estaba conectado con otras pandillas. En mayo, un representante de REvil ayudó a anunciar el cierre de DarkSide , un grupo que había sido responsable de un ataque a un oleoducto a principios de año.
¿Por qué se cerró la banda REvil Ransomware?
La desaparición de REvil se destaca en parte porque fue una sorpresa. La pandilla no anunció su cierre antes de tiempo. Tampoco siguió el ejemplo de otras bandas de ransomware y liberó una clave maestra de descifrado antes de cancelarlo. Tampoco está claro si otra entidad eliminó REvil o si se dobló por sí solo.
¿Qué les sucede a las víctimas?
Esas preguntas resaltan lo difícil que puede ser para las víctimas si una operación de ransomware se desconecta repentinamente. Idealmente, las fuerzas del orden y / o la comunidad de seguridad podrían obtener una clave de descifrado universal con anticipación para que las víctimas puedan recuperar sus archivos de forma gratuita una vez que el grupo desaparezca.
Sin embargo, eso no siempre es posible. Por ejemplo, la policía tiende a concentrarse únicamente en interrumpir rápidamente a la pandilla. La lógica es que hacerlo ayudará a evitar que reclamen más víctimas. Eso permite que la comunidad de seguridad se concentre en recuperar los datos de las víctimas existentes.
También hay otro lado del argumento. Eliminar un grupo de ransomware pone a las víctimas en una posición difícil. ¿Qué pasa si el grupo desaparece sin forma de recuperar los archivos rescatados? Lo único que se puede hacer es contactar a la policía, dijo a SC Media Steve Moore, estratega jefe de seguridad de Exabeam.
Resistir la presión de pagar
Dependiendo de la naturaleza del ataque, algunas víctimas pueden optar por pagar el rescate. Pueden creer que es el único medio por el cual pueden recuperar sus sistemas y datos. Eso es especialmente un problema si la víctima era un proveedor de servicios administrados. En ese caso, podrían enfrentarse a cientos, si no miles, de clientes que luchan por recuperarse.
Incluso si las víctimas tienen copias de seguridad, a veces encuentran que tiene más sentido financiero para ellas pagar. Un informe de 2020 de la empresa de ciberseguridad Covewave descubrió que a veces se necesitan más de dos semanas para reparar y restaurar completamente los sistemas después de un ataque de ransomware utilizando copias de seguridad. Este tipo de interrupción podría socavar la longevidad de las víctimas y costarles más que pagar el rescate. Sin embargo, pagar también anima a los atacantes a apuntar a otros y no se recomienda.
Un recordatorio para la prevención del ransomware
En general, la mejor opción es evitar la necesidad de recuperarse de un ataque de ransomware en primer lugar. Con ese fin, las organizaciones deben asegurarse de que sus empleados tengan la capacitación adecuada en conciencia de seguridad para ayudar a prevenir una infección de ransomware . Pueden hacer esto mediante el uso de inteligencia de amenazas y la realización de simulaciones de phishing para cultivar la conciencia de los empleados sobre los ataques actuales. Luego, las organizaciones pueden complementar esos controles humanos con medidas técnicas, incluidos escáneres de correo electrónico y una sólida estrategia de respaldo de datos con rondas frecuentes de pruebas.
SIGUE LEYENDO