En la historia de la ciberseguridad y del hacktivismo, existen nombres y términos que pasan a la posteridad. Ryuk, el ransomware que infectó empresas en España y en el resto del mundo o LAPSUS$, la banda de hackers que atacó a compañías como NVIDIA son solo algunos de ellos. Pero uno de los más peligrosos fue REvil, un grupo hacker extremadamente agresivo especializado en ransomware y que podría haber vuelto a estar activo.

REvil desapareció el pasado año 2021, después de que la infraestructura que el grupo manejaba (es decir, sitios webs, foros y demás) desapareciera de la noche a la mañana. A finales de ese mismo año, una operación conjunta entre varios países consiguió atacarles, después de que urdieran un plan para volver a estar activos al intentar engañar a las autoridades haciendo parecer que estaban inoperativos.

Ahora, según The Register, REvil podría estar volviendo a la carga. Investigadores de ciberseguridad explicaron en Twitter cómo detectaron una de las webs de REvil en las que se jactan de sus ataques y en las que revelan los datos robados y realizan promoción.

Vuelta de REvil

Estos hallazgos fueron compartidos en Twitter por los usuarios pancak3 y Soufiane Thiri. Según afirman los usuarios, esta web pertenecería a REvil, probando que efectivamente el grupo estaría, como mínimo, intentando volver a tener una actividad normal.

Esto es algo que se está poniendo en duda por otros investigadores, que explican que este podría ser un grupo que imite a REvil ya que no hay confirmación oficial de que hayan vuelto. De hecho, este es un escenario más que probable. Según explica Dole Santos, analista de inteligencia de amenazas de Palo Alto, en la Unidad 42 consultado por The Register, esto no sería en absoluto descabellado. "Tampoco es increíblemente sorprendente", dijo.

Hacker. @nahelabdlhadi en Unsplash

Debido a que es muy difícil confirmar este tipo de informaciones, es relativamente común confundir movimientos de grupos hacker que intentan imitar a otros auténticos. Por ende, está la posibilidad de que la página detectada por los investigadores sea propiedad de REvil, pero que la estén usando otros grupos hacker. 

Además, está el detalle de que la Unidad 42 de Palo Alto de Doel Santos, según The Register, ya está monitoreando la situación y por el momento, no han detectado ningún indicio que pueda determinar que REvil esté de vuelta. Y es que hemos de recordar que REvil fue atacado por una gran operación conjunta debido a que una buena parte de su infraestructura cayó en manos de las autoridades, y estas contraatacaron después de que el grupo intentara volver a usarlas.

Ilustración de un hacker.

Un vistazo más profundo a este nuevo sitio de REvil, los investigadores afirman que se incluyen tanto leaks antiguos como nuevos, y que algunos servicios están totalmente inoperativos. Además, existen detalles como una sección de reclutamiento que no estaban en los blogs originales que gestionaba REvil. Tampoco se han detectado transacciones de Bitcoin asociadas con monederos virtuales de REvil.

Un cambio de nombre

A finales de 2021, apareció en Internet un nuevo ransomware llamado ALPHV BlackCat, considerado como uno de los más peligrosos de todo el año. No solo permite realizar ataques en amplias redes de dispositivos empresariales, sino que tiene una alta capacidad de rendimiento. Está escrito en Rust, y al tener en sus ejecutables configuraciones JSON, implica que se pueden personalizar sus extensiones para hacerlos más sofisticados. El grupo que lo lanzó se estima que se conoce también como BlackCat.

Un hacker usando varias pantallas. Jefferson Santos

Una posibilidad que se maneja entre los investigadores que están investigando esta vuelta de REvil es que el grupo ha vuelto pero bajo otro nombre, o al menos usando otros nombres con sus productos. Y es que según explica Nick Biasini, de Cisco Talos, estos grupos hacker "pueden cambiar potencialmente de nombre cuando las fuerzas del orden u otras fuentes se vuelven más importantes".

Esto podría implicar que las pruebas que impiden relacionar este sitio con REvil buscan precisamente eso; que REvil esté intentando borrar sus huellas para impedir que este sitio se relacione con su configuración pasada.

REvil, que fue responsable de algunos de los ataques ransomware más importantes del año pasado (como el que afectó a la compañía cárnica más importante de los Estados Unidos), sufrió varios arrestos después de que intentaran restaurar las copias de seguridad de sus sistemas inactivos durante meses. La operación, según recogió en su día Reuters, implicó a Estados Unidos ya un "socio extranjero del gobierno de los Estados Unidos", que penetró en los sistemas de REvil para hacer el ataque.

También te puede interesar...

• La otra guerra de Putin: así puede sembrar el caos en el mundo mediante ciberataques
• Drones para acabar con drones: así es el ingenioso sistema antiaéreo de este hacker
• Un chaval de 16 años, el líder del grupo de hackers que robó datos a Microsoft