REvil ( Ransomware Evil ; también conocido como Sodinokibi ) es una operación privada de ransomware-as-a-service (RaaS). [1] Después de un ataque, REvil amenazaría con publicar la información en su blog 'Happy Blog' a menos que se reciba el rescate. El código de ransomware utilizado por REvil se parece al software de ransomware utilizado por DarkSide , un grupo de piratería diferente. En un caso de alto perfil, REvil atacó a un proveedor del gigante tecnológico Apple y robó esquemas confidenciales de sus próximos productos.
Formación | 2019 |
---|---|
Tipo | Hackear |
Afiliaciones | GandCrab |
Historia
REvil recluta afiliados para distribuir el ransomware por ellos. Como parte de este acuerdo, los afiliados y los desarrolladores de ransomware dividen los ingresos generados por los pagos de rescate . [2] Es difícil precisar su ubicación exacta, pero se cree que tienen su sede en Rusia debido al hecho de que el grupo no apunta a organizaciones rusas, o aquellas en países del antiguo bloque soviético. [3]
Los expertos en ciberseguridad creen que REvil es una rama de una banda de piratas informáticos anterior notoria, pero ahora desaparecida, GandCrab. [4] Esto se sospecha debido al hecho de que REvil se activó por primera vez directamente después del cierre de GandCrab, y que ambos ransomware comparten una cantidad significativa de código.
2020
Mayo
Como parte de las operaciones de la banda criminal cibernética, son conocidos por robar casi un terabyte de información del bufete de abogados Grubman Shire Meiselas & Sacks y exigir un rescate para no publicarlo. [5] [6] [7] El grupo también había intentado extorsionar a otras empresas y figuras públicas.
En mayo de 2020 exigieron 42 millones de dólares al presidente de Estados Unidos, Donald Trump . [8] [9] El grupo afirmó haber hecho esto al descifrar la criptografía de curva elíptica que la empresa utilizó para proteger sus datos. [10] Según una entrevista con un presunto miembro, encontraron un comprador para la información de Trump, pero esto no se puede confirmar. [11] En la misma entrevista, el miembro afirmó que traerían $ 100 millones en rescates en 2020.
El 16 de mayo de 2020, el grupo publicó documentos legales por un total de 2,4 GB relacionados con la cantante Lady Gaga . [12] Al día siguiente, publicaron 169 correos electrónicos "inofensivos" que se referían a Donald Trump o contenían la palabra "triunfo". [13]
Estaban planeando vender la información de Madonna , [14] pero finalmente renegaron. [15]
2021
marcha
El 27 de marzo de 2021, REvil atacó a Harris Federation y publicó varios documentos financieros de la federación en su blog. Como resultado, los sistemas de TI de la federación se cerraron durante algunas semanas, afectando hasta 37.000 estudiantes. [dieciséis]
El 18 de marzo de 2021, un afiliado revil considerado en el sitio de la fuga de datos que habían descargado los datos de hardware multinacional y la electrónica empresa Acer , así como ransomware la instalación, que se ha vinculado a la violación de datos 2021 de Microsoft Exchange Server de la firma de seguridad cibernética avanzada de Intel , que encontró los primeros signos de que los servidores Acer fueron atacados a partir del 5 de marzo de 2021. Se exigió un rescate de 50 millones de dólares para descifrar el número no revelado de sistemas y para que los archivos descargados fueran eliminados, aumentando a 100 millones de dólares si no se pagaban antes del 28 de marzo de 2021 . [17]
abril
En abril de 2021, REvil robó planes para los próximos productos Apple de Quanta Computer, que se dice que incluye planes para un par de computadoras portátiles Apple, un nuevo Apple Watch y un nuevo Lenovo ThinkPad . REvil amenazó con publicar los planes a menos que reciban 50 millones de dólares. [18] [19]
Mayo
El 30 de mayo, JBS SA fue atacada por un ransomware. Unos días después, la Casa Blanca anunció que REvil podría ser responsable del ciberataque de JBS SA . El FBI confirmó la conexión en una declaración de seguimiento en Twitter . [20] JBS pagó un rescate de $ 11 millones en Bitcoin a REvil detrás de un ataque que forzó el cierre la semana pasada de todas las plantas de carne de vacuno de la compañía en EE. UU. E interrumpió las operaciones en las plantas de aves de corral y porcino.
Referencias
- ^ "McAfee ATR analiza Sodinokibi también conocido como REvil Ransomware-as-a-Service - The All-Stars" . Blogs de McAfee . 2019-10-02 . Consultado el 7 de octubre de 2020 .
- ^ "Sodinokibi Ransomware: siguiendo el rastro del dinero de afiliados" . BleepingComputer . Consultado el 7 de octubre de 2020 .
- ^ Saarinen, Juha (29 de enero de 2020). "No hay tregua en los ataques de ransomware como servicio de REvil" . es noticia .
- ^ Vijayan, Jai (25 de septiembre de 2019). "Desarrolladores de GandCrab detrás de Destructive REvil Ransomware" . OSCURO Lectura .
- ^ Cimpanu, Catalin. "Pandilla de ransomware pide $ 42 millones de bufete de abogados de Nueva York, amenaza con filtrar suciedad sobre Trump" . ZDNet . Consultado el 17 de mayo de 2020 .
- ^ Winder, Davey. "Los piratas informáticos publican los primeros 169 correos electrónicos de 'ropa sucia' de Trump después de ser calificados de ciberterroristas" . Forbes . Consultado el 17 de mayo de 2020 .
- ^ Sykes, Tom (15 de mayo de 2020). " Los piratas informáticos ' REvil ' duplican su demanda de rescate de Allen Grubman a $ 42 millones, amenazan con tirar la suciedad de Donald Trump" . La bestia diaria . Consultado el 17 de mayo de 2020 .
- ^ "Grupo criminal que hackeó el bufete de abogados amenaza con publicar documentos de Trump" . NBC News . Consultado el 17 de mayo de 2020 .
- ^ Adler, Dan. "¿Qué tienen estos piratas informáticos sobre Trump y por qué pagaría Allen Grubman para reprimirlo?" . Feria de la vanidad . Consultado el 17 de mayo de 2020 .
- ^ "Forbes" .
- ^ Seals, Tara (29 de octubre de 2020). "REvil Gang promete un gran éxito de videojuego; Maze Gang cierra" . Threatpost .
- ^ Aturdido (16/05/2020). "Los piratas informáticos han filtrado los documentos legales de Lady Gaga" . Aturdido . Consultado el 17 de mayo de 2020 .
- ^ Winder, Davey. "Los piratas informáticos publican los primeros 169 correos electrónicos de 'ropa sucia' de Trump después de ser calificados de ciberterroristas" . Forbes . Consultado el 17 de mayo de 2020 .
- ^ Coble, Sarah (19 de mayo de 2020). "Revil para subastar datos robados de Madonna" . Revista Infosecurity . Consultado el 17 de julio de 2020 .
- ^ Coble, Sarah (23 de septiembre de 2020). "Los ladrones no subastan los documentos legales de Bruce Springsteen" . Revista Infosecurity . Consultado el 10 de diciembre de 2020 .
- ^ "La evidencia sugiere que REvil está detrás del ataque de ransomware de Harris Federation" . ES PRO . Consultado el 30 de abril de 2021 .
- ^ "Acer gigante de la informática golpeado por $ 50 millones de ataque de ransomware" . BleepingComputer . 19 de marzo de 2021 . Consultado el 20 de marzo de 2021 .
- ^ "Los piratas informáticos ransomware roban planes para los próximos productos de Apple" . el guardián . 2021-04-22 . Consultado el 22 de abril de 2021 .
- ^ "Una banda notoria de ransomware afirma haber robado los diseños de productos de Apple" . Gizmodo . Consultado el 22 de abril de 2021 .
- ^ "Declaración del FBI sobre el ciberataque de JBS" . Twitter . 2021-06-02 . Consultado el 3 de junio de 2021 .