Los ataques ransomware se han convertido en un mercado muy lucrativo. Miles de empresas en todo el mundo, incluso España, se han visto afectadas por este chantaje digital. Detrás de los hackeos más conocidos de 2021 estaba el grupo REvil, quienes desaparecieron antes de que el FBI reconociera que tenía la clave para contrarrestar sus ataques.

Un informe asegura que la agencia de investigación estadounidense ocultó durante casi tres semanas que podía desbloquear los sistemas secuestrados por el ransomware de REvil. Esa clave digital podía haber ayudado a cientos de empresas, escuelas u hospitales que luchaban por sobrevivir esos días.

La clave se obtuvo accediendo a los servidores de la banda criminal con sede en Rusia y se pretendía utilizar, junto a otras agencias, para detener a los hackers. Sin embargo, estos desaparecieron antes de que pudieran usarlo en su contra, dejando un caos que ha costado millones de dólares para recuperar los sistemas informáticos.

Escuelas y hospitales afectados

El ransomware se ha popularizado en los últimos años. Los grupos de ciberdelincuentes desarrollan un malware o código malicioso que se introduce en los sistemas de una empresa o institución y cifra documentos, bases de datos y todos los recursos digitales de los que dependen para llevar adelante el negocio.

A cambio de descifrar esos servicios, los hackers reclaman grandes cantidades de dinero. REvil llegó a exigir entre 45.000 y 5 millones de dólares por ordenador infectado. No se conoce el número exacto de compañías que fueron atacadas durante el verano, antes de la desaparición del grupo, pero la empresa de TI Kaseya estima entre 800 y 1.500 las víctimas, entre las que estaban muchos de sus clientes.

Agente del FBI

El 21 de julio, el FBI compartió con Kaseya la clave para descifrar el ransomware de REvil. Para entonces el grupo de hackers llevaba desaparecido más de una semana y sus víctimas habían estado casi tres semanas tratando de liberarse del ataque. Algunos pagaron el rescate, algo que no recomiendan los expertos en ciberseguridad, otros utilizaron copias de seguridad para restaurar los sistemas afectados.

Esta semana, el director del FBI, Christopher A. Wray, ha justificado ante el Congreso de EEUU la acción de la agencia como parte del trabajo conjunto entre el FBI y otras agencias. "Tomamos las decisiones como grupo, no unilateralmente”, ha dicho. Explica que de haber usado la clave desde el principio para ayudar a las empresas, los hackers podrían haberse hecho más fuertes con ella. Planeaban una operación con la que interrumpir definitivamente la actividad del grupo.

Hacker

JustTech, otra empresa con 120 clientes afectados, denuncia ante el WSJ que sin la clave pasaron semanas trabajando sin descanso para restaurar los sistemas de los clientes. Incluso con las copias de seguridad, el proceso es largo y muy costoso, las pérdidas son millonarias. "Había personas adultas que me lloraban en persona y por teléfono preguntándome si su negocio iba a continuar" explica Joshua Justice, propietario de JustTech.

El jueves, Bitdefender lanzó una clave "universal" que desbloquea todos los sistemas cifrados por REvil antes del 13 de julio, fecha en que desaparecieron. Con ella todas las empresas que aún no hayan recuperado la totalidad de sus sistemas podrán hacerlo. No obstante, esta clave compensa todo el dinero perdido hasta ahora, ni protegerá a las futuras víctimas de estos ataques.

El regreso a la acción de REvil

A mediados de julio, el grupo de hackers responsable de este ataque y el de JBS, una de las mayores empresas cárnicas de EEUU, decidió desaparecer del mercado. Se sospecha que la presión política de EEUU sobre Rusia pudo ser el motivo. Biden presionó a Vladimir Putin para que actuara sobre los hackers alojados en el país.

JBS Reuters

Durante meses se ha especulado con la vuelta del grupo bajo otro nombre, se les relacionaba con la nueva banda BlackMatters. Pero hace una semana la compañía de ciberseguridad Flashpoint alertaba de la vuelta del grupo.

Se ha descubierto cierta actividad sobre REvil en foros de piratería rusos y sus servidores vuelven a estar operativos desde la Dark Web. Parece que los cibercriminales han terminado su descanso y tras el verano planean su regreso, lo que supone una seria amenaza para muchas empresas y gobiernos.

También te puede interesar...

• Asesinada por un virus: un ataque 'ransomware' termina en la muerte de una paciente
• Hackers amenazan con publicar secretos de productos de Apple como el MacBook o el Watch
• Facebook paró una campaña de hackers iraníes contra militares de Estados Unidos