Hace más de tres años, en febrero de 2018, el equipo de Bitdefender DRACO lanzó el primero de muchos descifradores para una familia de ransomware llamada GandCrab. Publicado solo un mes después de la aparición de las primeras muestras de esta variedad extremadamente poderosa de ransomware como servicio (RaaS), esto marcó el comienzo de una compleja asociación con agencias del orden de todo el mundo en un fuerte compromiso de frenar el ransomware.
Ahora, las autoridades rumanas han arrestado a dos afiliados de la familia de ransomware Sodinokibi/REvil responsables de 5.000 infecciones. Desde febrero de 2021, los agentes del orden han arrestado a otros tres afiliados de Sodinokibi/Revil, con lo que el total de arrestos de Sodinokibi asciende a cinco, así como a dos sospechosos relacionados con GandCrab. Estos son algunos de los resultados de la Operación GoldDust, un esfuerzo coordinado en el que participaron 19 organizaciones encargadas de hacer cumplir la ley (Agencias policiales locales en Alemania, Australia, Bélgica, Canadá, Estados Unidos, Francia, Luxemburgo, Noruega, Países Bajos, Polonia, Reino Unido, Rumania, Corea del Sur, Suecia, Suiza y Kuwait, así como Europol, Interpol y Eurojust),
REVil (también conocido como Sodinokibi) en 30 segundos
Abreviatura de Ransomware Evil, REvil es una operación privada de RaaS que surgió por primera vez en 2019. Profundamente vinculado con el ahora desaparecido grupo GandCrab RaaS, REvil aprovecha a las filiales para infectar a las empresas y extorsionarlas por dinero. Desde 2019, REvil se ha hecho un nombre y para el segundo trimestre de 2021 se ha convertido en la variante de ransomware más común.
REvil ha logrado comprometer a miles de empresas en todo el mundo y se sabía que extorsionaba a las víctimas por pagos mucho mayores que el precio promedio de mercado. Las empresas que no pagaron e intentaron restaurar las copias de seguridad fueron chantajeadas con la publicación de su información confidencial robada.
En colaboración con un aliado de confianza de las fuerzas policiales, Bitdefender lanzó un descifrador universal gratuito para los ataques REvil que ocurrieron antes del 13 de julio de 2021. Desde mediados de septiembre de este año, el descifrador Sodinokibi / REvil ha ayudado a más de 1.400 empresas en 83 países a recuperar sus archivos y ahorrar más de 550 millones de dólares en rescates impagados. El rescate promedio exige alrededor de 393.000 dólares, mucho más alto que el rescate promedio de GandCrab de entre 800 y 2400 dólares.
El equipo de Bitdefender DRACO proporcionó consultoría y orientación de ciberseguridad, especialmente en áreas de criptografía, forense e investigaciones, que ayudaron al consorcio de aplicación de la ley en esta operación a minimizar el impacto de ataques exitosos de ransomware, y finalmente llevaron a arrestos. Esta colaboración con las fuerzas del orden es un excelente ejemplo de que los sectores público y privado trabajan juntos para interrumpir significativamente las actividades de ciberdelincuentes.
Las víctimas actuales pueden descargar el descifrador REvil y recuperar sus datos. Si ha sido víctima de un ataque de ransomware, le recomendamos que no pague el rescate e informe a su organización local de aplicación de la ley sobre el incidente.
Mejores prácticas de ransomware
- Los ataques de ransomware generalmente comienzan con phishing por correo electrónico e ingeniería social. Hay que educar y capacitar continuamente a los empleados sobre los peligros de hacer clic en enlaces y abrir archivos adjuntos de fuentes desconocidas.
- Asegúrese de que las plataformas de seguridad como la detección y respuesta de endpoints (EDR) y la detección y respuesta extendidas (XDR) se actualicen con indicadores de compromiso (IOC) para buscar REvil y otras familias populares de ransomware.
- Considere el modelo de detección y respuesta administradas (MDR) para complementar la capacidad de un equipo de seguridad interno para realizar búsquedas activas de amenazas.
- Minimice su superficie de ataque y asegúrese de que los servicios heredados u otros servicios innecesarios (como RDP) no estén expuestos a Internet.
- Si usted es una agencia de aplicación de la ley que necesita experiencia técnica en casos de ransomware, póngase en contacto con nosotros en [email protected]