¿Sabes qué es el grupo REvil o Ransomware Evil? Un ransomware es un tipo de malware muy popular, cuya función es la de encriptar los archivos de un ordenador infectado y exigir el pago de un rescate a cambio de la clave para descifrarlos. Este ingenioso delito fue inventado en 1989, con el ransomware AIDS Trojan y, desde entonces, cada vez se ejecuta con malwares más complejos y sofisticados.
Actualmente, más de veinte años después de la creación de los ransomwares, el uso de estos malwares ha dado origen a una multimillonaria industria de servicios ilegales. En el año 2021, más de 5,2 billones de dólares en transacciones con bitcoins estuvieron relacionados con el pago de rescates de ransomwares. En todo el año, se ejecutaron más de 714 millones de intentos de ataque con ransomware, es decir, casi 2 millones de intentos diarios.
Gran parte de la razón por la cual se ha expandido el uso de estos malwares es la creación de ransomwares como servicio, también conocidos como ransomware as a service (RaaS). Se trata de un modelo de suscripción con este tipo de programas, con el fin de dividir el trabajo entre los desarrolladores del malware y los distribuidores del mismo.
En este post, hablaremos sobre una de las operaciones de ransomware como servicio más notorias de los últimos años. A continuación, te explicaremos qué es el grupo REvil o Ransomware Evil, cómo funcionaba su modelo de negocio ilícito y qué tareas maliciosas ejecutaban sus malwares.
¿Qué es el grupo REvil?
El nombre REvil proviene del término Ransomware Evil, que es el nombre del programa malicioso desarrollado por este notorio grupo de hackers. El grupo REvil, también conocido como Sodinokibi, fue una organización ilegal con base en Rusia que dirigía una lucrativa operación de ransomware como servicio.
El ransomware Evil afectó a prominentes empresas, como la firma de abogados Grubman Shire Meiselas & Sacks y compañías tecnológicas, como Apple, Quada y Acer, entre otras. Con un solo ataque, dirigido a JBS, la distribuidora de carnes más grande del mundo, los atacantes obtuvieron el pago de un rescate por 11 millones de dólares.
¿Cómo funciona el ransomware Evil?
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa hemos visto qué es el grupo REvil y la operación ilegal que dirigían. Ahora hablaremos sobre los detalles técnicos del funcionamiento de sus ataques de ransomware.
Infección
El ransomware Evil se propaga por medio de virus troyanos y campañas de phishing. Se pueden encontrar en links de descarga y archivos maliciosos. Debido a que sus objetivos eran, principalmente, compañías notorias, su principal vector de amenaza eran los ataques de ingeniería social. Al tratarse de un ransomware como servicio, los distribuidores podían dedicarse totalmente a la propagación del malware sin preocuparse por aspectos del desarrollo.
¿Cómo actúa?
Ya hemos hablado de qué es el grupo REvil y cómo funcionaba su servicio de ransomware por suscripción, por el cual obtenían comisiones de cada rescate. Ahora, hablaremos sobre las características que lo separan de otros tipos de ransomware y qué lo hace más peligroso para las compañías que ataca.
El ransomware Evil no solo encripta la información sensible de las organizaciones que ataca, sino que también roba la información antes de cifrarla. De este modo, extorsiona a las víctimas bajo la presión de publicar sus datos confidenciales y los de sus clientes. En el caso de Apple, por ejemplo, los atacantes amenazaron con filtrar información confidencial sobre sus diseños industriales.
Ahora sabes qué es el grupo REvil y cómo funcionaba su operación de ransomware como servicio. Si quieres aprender más sobre análisis de malware y ciberseguridad, tenemos el curso perfecto para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses. ¿A qué estás esperando? ¡Inscríbete ya y transfórmate en un experto!