El grupo de amenazas de ransomware REvil sigue haciendo noticia y causando estragos en distintas organizaciones que han sido víctimas. Su más reciente campaña ha estado dirigida en África, Europa, México y Estados Unidos.
Las organizaciones supuestamente afectadas incluyen bufetes de abogados, una compañía de seguros, una firma de arquitectura, una empresa de construcción y una cooperativa agrícola dentro de los EE. UU. En cambio, en México y África, dos grandes bancos internacionales se vieron afectados.
Pero sin duda, uno de los ataques que más ha causado noticia y alerta es el que tiene como víctima al conocido proveedor de tecnología Acer, donde la suma del rescate que hasta el momento se solicita, podría ser catalogado como el más alto hasta la fecha.
Acer
Acer es el sexto proveedor de PC más grande por unidad de ventas en el mundo con más de 7,000 empleados y más de 234,29 mil millones en ingresos.
Por dicha razón, es que la organización es una gran apuesta y objetivo para las bandas de cibercriminales. REvil, en esta ocasión no dejó pasar la oportunidad y ha cobrado lo que se habla de rescate más grande solicitando aproximadamente unos $ 50,000,000.
Los actores detrás de REvil, respecto a este ataque, declararon haber robado datos de los sistemas del proveedor antes de que estos tuvieran la oportunidad de ser encriptados. También publicaron en su sitio algunas imágenes de documentos presuntamente robados, que parecían hojas de cálculo financieras, documentos bancarios y comunicaciones de la empresa.
Comunicado de Acer
Acer emitió un comunicado el 19 de marzo indicando que actualmente todavía están investigando la violación de seguridad y los efectos que esto podría haber tenido.
“Acer monitorea rutinariamente sus sistemas de TI y la mayoría de los ataques cibernéticos están bien defendidos. Empresas como nosotros estamos constantemente bajo ataque, y hemos informado de situaciones anormales recientes observadas a las autoridades policiales y de protección de datos pertinentes en varios países".
"Hemos estado mejorando continuamente nuestra infraestructura de ciberseguridad para proteger la continuidad del negocio y la integridad de nuestra información. Instamos a todas las empresas y organizaciones a que se adhieran a las disciplinas y las mejores prácticas de ciberseguridad, y estén atentos a cualquier anomalía en la actividad de la red.”
REvil ransomware
El grupo de ransomware REvil, también conocido como Sodinokibi o Sodin, es conocido por usar tácticas de doble extorsión contra sus víctimas y por su robusta operación de ransomware como servicio, en la que los desarrolladores venden malware a clientes o "afiliados" para lanzar sus propias campañas.
Según Informes de investigadores de Threatpost, la banda de ransomware se está atribuyendo el mérito de los ataques contra organizaciones como: bufetes de abogados, una compañía de seguros, bancos internacionales y un fabricante ubicado en llevados a cabo en África, Europa, México y Estados Unidos.
Como prueba de ello, REvil publicó algunos de los documentos que afirman haber robado a las víctimas: directorios de archivos de computadora, listas de clientes, contratos e incluso identificaciones de empleadores y clientes.
Aunque aún no está claro si se ha solicitado el pago a las distintas organizaciones, algunos de los documentos publicados desaparecieron de su página web después de la publicación, lo cual nos permite deducir que las víctimas podrían haber pagado el rescate solicitado para bajar sus datos de la web.
Entrevista a Revil
Arrojando algo de luz sobre las motivaciones detrás de los métodos del grupo, The Record realizó una entrevista a un presunto miembro de REvil que se hace llamar "Unknown". Afirmando que:
Ransomware 2021 en el panorama de amenazas
Como lo mencionamos en nuestro boletín de “Ransomware 2021 en el panorama de amenazas”, Sodinokibi en una de las variantes de ransomware más connotadas en 2020, destacando y caracterizándose, entre otras cosas, por tener una alta tasa de éxito de recuperación después de realizar un pago de rescate respecto de otros tipos de ransomware, puesto que la herramienta de descifrado es relativamente sencilla de usar.
Panorama
Revil ha demostrado ser capaz de planificar campañas altamente sofisticadas, además ha aumentado significativamente su presencia pública volviéndose muy comunicativo con las comunidades. Es probable que esta tendencia continúe esperando que se compartan más información en el futuro, lo que nos permitirá comprender mejor a este grupo de amenaza y sus ataques futuros.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Tipo | Indicador |
---|---|
hash | 600bf6f0e433f87dee2edf79d84... |
hash | 939f58c10211a768f664a8f5431... |
hash | a602205235482486cfa192778ef... |
hash | 9443d7f2890e26024ee0b8067ac... |