Ransomware REvil: Qué Es, Cómo Se Propaga Y Principales Ataques

Conoce qué es el ransomware REvil, cómo se propaga y sus principales ataques. Descubre cuándo comenzó y por qué es tan exitoso.

¿Qué es el ransomware REvil?

El ransomware REvil es uno de los últimos tipos de ransomware que ha ganado terreno últimamente.

Este malware se distribuye a través de correos electrónicos de phishing, enlaces maliciosos y otros métodos de ingeniería social.

REvil apareció por primera vez en 2019 y se ha estado propagando hasta principios de 2022.

Forma parte del Ransomware as a service (RaaS) y también es conocido como Sodinokibi.

¿Cuándo comenzó el ransomware REvil?

Este ransomware no tiene un recorrido delictivo muy amplio ya que surgió en abril de 2019.

Y, actualmente ha desaparecido.

¿Quiénes son los hackers de REvil?

No es fácil descubrir quiénes son los hackers del ransomware REvil.

En noviembre de 2021, la INTERPOL anunció una operación integrada por 19 agencias en 17 países ligada, entre otros delitos, a este ransomware:

“GoldDust desbarató a una pandilla de delitos informáticos de ransomware y arrestó a siete sospechosos. La operación estableció una imagen de amenaza global sobre los ataques de las familias de ransomware, particularmente GandCrab y REvil Sodinokibi”.

¿Quién está detrás de REvil?

Todas las teorías y pruebas apuntan a que el grupo que está detrás del ransomware REvil es ruso.

Así se manifestaba Joe Biden, en un comunicado de la Casa Blanca, sobre la operación de la INTERPOL:

“Cuando me reuní con el presidente Putin en junio, dejé claro que Estados Unidos tomaría medidas para responsabilizar a los ciberdelincuentes. Estamos aportando toda la fuerza del gobierno federal para interrumpir la actividad y los actores cibernéticos maliciosos”.

¿De dónde es REvil?

Según expertos, el ransomware REvil, también conocido como Sodinokibi, procede de Rusia.

El estudio de la empresa de blockchain, Chainalysis refuerza esta teoría ya que el 74% de los ingresos por ransomware en 2021 se destinaron a cepas afiliadas a Rusia.

El estudio de UNIT 42 indica que el ransomware REvil o Sodinokibi proviene del mismo grupo que GandCrab:

“A principios de 2019, los autores detrás de GandCrab anunciaron que se retirarían porque había ganado suficiente dinero y causado suficiente daño. Sin embargo, casi al mismo tiempo, estaba surgiendo una nueva amenaza de ransomware llamada REvil”.

Extensión de archivo del ransomware REvil

La extensión del archivo es el aviso de que los datos han sido encriptados por un ransomware.

Es muy probable que los documentos tengan una extensión diferente.

Es decir, cambien, por ejemplo, de myCV.docx a myCV.docx.locked.

Si un ransomware ha encriptado tus archivos con algunas de estas extensiones, contacta con HelpRansomware.

La compañía es experta en eliminar ransomware y abrir archivos cifrados.

Descripción general del mapa mundial del ransomware REvil

UNIT 42 ha llevado a cabo un análisis sobre el ransomware REvil desde 2020 a 2022.

Desde abril de 2019 a julio de 2021, las industrias afectadas fueron:

• Agricultura;
• Automovilismo;
• Energía;
• Servicios financieros;
• Salud;
• Fabricación;
• Retail;
• Tecnología.

Y, los países atacados:

• Brasil;
• Chile;
• España;
• Reino Unido;
• México;
• Suecia;
• Estados Unidos.

En julio de 2021, se produjo el gran ataque de ransomware a Kaseya, que se explicará en el próximo epígrafe.

Los datos de 2022 todavía no están publicados porque no ha finalizado el año pero el estudio indica lo siguiente sobre el ransomware REvil:

“En abril de 2022, el antiguo sitio de filtraciones REvil se puso online y comenzó a redirigir a los visitantes a una nueva dirección de Onion, enumerando nuevas y anteriores víctimas. El nuevo sitio incluye la sección ‘Únete a nosotros’ para el reclutamiento activo de afiliados”.

Por otro lado, el único dato económico hace referencia a 2020, cuando el pago de rescate promedio fue de $508,523.

Principales ataques de ransomware REvil

En julio de 2022, el ataque de ransomware REvil a la compañía tecnológica Kaseya fue el más mediático.

Así lo describe UNIT 42:

“Los afiliados de REvil llevaron a cabo un ataque a la cadena de suministro contra Kaseya. Los servidores Kaseya se utilizaron para implementar ransomware en víctimas desprevenidas. Esto se debió a una vulnerabilidad encontrada por los actores de la amenaza”.

Uno de los arrestos producidos por la INTERPOL, y mencionados anteriormente en este artículo, fue al hacker responsable de este ataque.

Este hecho afectó a más de 1.000 empresas al mismo tiempo en numerosos países como Argentina, Canadá, España, Reino Unido, México, Estados Unidos y Sudáfrica.

El grupo REvil informó, en su sitio de la Dark Web, que más de un millón de sistemas fueron comprometidos, ofreciendo un descifrador a todas sus víctimas por $70 millones.

El sitio web de Kaseya fue actualizando con la última información sobre el ataque ransomware.

La multinacional, Acer, es otra de las víctimas reconocidas del ransomware REvil. 

El grupo de hackers filtró información privada de la compañía como movimientos bancarios o saldos.

Las empresas son las principales víctimas de ransomware, debido a su necesidad por recuperar archivos encriptados rápidamente.

Lo más importante es no pagar el rescate a los cibercriminales.

Si cedes a la extorsión, los hackers volverán a demandar más dinero.

En caso de que seas atacado por un ransomware, contacta con una empresa especializada como HelpRansomware.

Su equipo es experto en la eliminar ransomware y desencriptar los archivos.

¿REvil ransomware todavía está activo?

En enero de 2022, se desarmó el grupo criminal del ransomware REvil con la detención de sus miembros.

No obstante, en abril de 2022, la antigua plataforma Tor de REvil comenzó a operar.

Se editó para redirigir a los visitantes a los enlaces de un nuevo ransomware.

Se desconoce todavía quién está detrás de los nuevos movimientos.

Jakub Kroustek, director de investigación de malware en Avast, publicó un tweet sobre el bloqueo de un ransomware, variante de REvil.

¿Qué pasó con el ransomware REvil?

En enero de 2022, el Servicio Federal de Seguridad de la Federación Rusa (FBS), junto al Departamento de Investigación del Ministerio del Interior de Rusia, anunció el arresto de 14 miembros pertenecientes a Sodinokibi:

“El FBS de Rusia estableció la composición completa de la comunidad criminal REvil  y la participación de sus miembros en la circulación ilegal de medios de pago, y documentó actividades”.

En la operación, se incautaron fondos, entre otros activos, en 25 direcciones de los 14 detenidos:

• Más de 426 millones de rublos;
• 600 mil dólares estadounidenses;
• 500 mil euros;
• Billeteras criptográficas;
• Equipos de cómputo.

Con la detención del equipo, REvil dejó de existir en enero de 2022.

¿Cómo se propaga el REvil ransomware?

El ransomware se propaga principalmente a través de phishing.

El correo electrónico contiene un archivo adjunto malicioso que, cuando se abre, el virus se ejecuta y comienza a cifrar archivos en la computadora.

Los piratas informáticos encriptan todos los archivos y exigen un rescate a cambio de la clave de descifrado.

Muchos ciberdelincuentes ahora están utilizando correos electrónicos no deseados como uno de sus métodos preferidos para propagar malware.

Saben que la gran mayoría de las personas no se toman el tiempo de revisar sus archivos adjuntos de correo electrónico y los envían como si fueran legítimos.

Si eres víctima de ransomware, acude directamente a una compañía especializada en eliminar ransomware y restaurar archivos cifrados.

HelpRansomware, con más de 25 años de experiencia, asiste 24/7 y garantiza 100% todo el proceso: eliminación y desencriptación.

Detección del ransomware REvil

A continuación, puedes leer algunos de los modos en que se puede detectar el ransomware:

• Identificar la carga útil del ransomware: buscar ejecutables con nombres como «revil», «wannacry» o «locky»;
• Buscar cambios en el registro del sistema;
• Disminución en el espacio disponible en el disco;
• Aumento en el uso de la CPU.

A veces, puede ser difícil detectar si has sido infectado con ransomware porque puede que no se muestre ningún signo.

¿Qué tan exitoso es REvil?

Con el ataque a Kaseya, anteriormente explicado, se evidencia la fortaleza y éxito del ransomware REvil.

Asimismo, el reporte Security X-Force Threat Intelligence Index 2022 de IBM también ofrece información sobre este tipo de ransomware. 

En 2021, REvil representó el 37% de todos los ataques investigados, seguido de Ryuk (13%), LockBit 2.0 (7%) y AtomSilo (3%).

Protección contra ataques ransomware

A continuación, HelpRansomware ofrece consejos para protegerse de un ransomware:

• Tener una copia de seguridad en un disco externo o servicio de almacenamiento en la nube;
• Mantener actualizado el software del ordenador;
• Estar atento a las páginas web que se visitan;
• Tener cuidado con los correos electrónicos que se reciben, revisando el remitente y los enlaces insertados;
• Utilizar contraseñas seguras y no compartirlas con otras personas;
• Activar la autenticación 2FA en los servicios que estén disponibles;
• Evitar la descarga de software pirata o contenido ilegal.

Los ataques de ransomware son muy agresivos y es importante tener los equipos informáticos preparados para ello.

En este sentido, HelpRansomware ayuda a las empresas a través de servicios como la consultoría de seguridad informática y la de prevenir un ataque de ransomware.

¿Cómo defenderse de REvil?

Actualmente REvil no es uno de los ransomware más poderosos pero seguramente se presentará al mercado de la ciberdelincuencia mediante otra variante.

Por ello, los usuarios de Internet deben también aplicar pautas de protección y defensa, como, por ejemplo:

• Copias de seguridad: realizar backup de los datos con regularidad y almacenarlas offline;
• Antivirus: instalar un software antivirus en todos los ordenadores y mantenerlo actualizado;
• Concientización: educar a los empleados sobre todos los tipos de ransomware, cómo reconocerlo y qué pasos deben tomar si son víctimas.

Estos consejos son básicos tanto para particulares como compañías, que son el principal objetivo del ransomware.

Conclusiones

A través de esta guía, has conocido qué es el ransomware REvil, cómo se propaga y sus principales ataques. Has descubierto cuándo comenzó y por qué es tan exitoso.

De este artículo se pueden extraer las siguientes conclusiones:

• REvil es un ransomware muy conocido desde 2019 hasta la actualidad;
• Ahora no opera pero están apareciendo variantes muy similares;
• La INTERPOL y FBS han desarticulado al grupo de cibercriminales que estaba detrás de REvil;
• El ataque a Kaseya es el más importante perpetrado por REvil, afectando a más de 1.000 empresas y pidiendo un rescate de $70 millones;
• Acer también fue víctima de este ransomware, filtrando movimientos bancarios y más datos financieros;
• El ransomware se propaga principalmente a través de correos electrónicos no deseados.

Aunque a principios de 2022 se desarmó la banda de REvil, ya se han comenzado a visualizar nuevas variantes.

Ello es una señal más de cómo los ransomware evolucionan y no desaparecen definitivamente.

Si eres víctima de un ransomware, contacta con HelpRansomware, empresa líder en eliminación de ransomware y desencriptación de archivos.