REvil: ¿Respiro calculado?

En Rusia, se ha dado un golpe exitoso contra uno de los grupos más ocupados en el mundo del crimen en línea. El grupo REvil, también conocido como Sodinokibi, también conocido como Gandcrab, «ha dejado de existir», según un comunicado del servicio de inteligencia nacional ruso FSB.

En los últimos doce meses, ha habido algunas noticias espectaculares que traen un poco de esperanza a una era aparentemente dorada de ataques de ransomware. Hace casi un año, Interpol lanzó una bomba bastante grande con el derribo del malware Emotet. En noviembre de 2021, una operación policial transfronteriza logró detener a miembros de la banda REvil en Rumanía. Ya en los meses anteriores, en varios otros países, las esposas hicieron clic en algunos presuntos miembros del grupo criminal.

Más preguntas que respuestas

Esta es una buena noticia y un cambio bienvenido entre los informes de ataques a veces devastadores en todo el mundo y los daños millonarios.

Al mismo tiempo, ha surgido durante mucho tiempo la pregunta de cómo puede ser una respuesta efectiva al fenómeno general del «ransomware». Hay varios enfoques para esto, desde una prohibición de las criptomonedas hasta llamados a un trabajo policial más fuerte con mejor personal y equipo técnico, así como más posibilidades legales y leyes más estrictas. Este último enfoque, por ejemplo, también persigue la idea de criminalizar el pago de rescates. Se está produciendo un discurso multilateral activo sobre todas estas cuestiones. Hasta ahora, sin embargo, una línea uniforme o una estrategia apoyada por todas las partes no es reconocible.

Al más alto nivel

No debemos olvidar una cosa: el ransomware también se ha convertido en un tema político y en objeto de disputas diplomáticas al más alto nivel, sobre todo debido a los ataques a algunas grandes empresas estadounidenses. Sobre todo, en el discurso entre el gobierno estadounidense y el liderazgo ruso.

Una y otra vez, los expertos han dicho que muchos de los ataques más devastadores del pasado reciente tienen su origen con una probabilidad muy alta en territorio ruso. En vista de los ataques ininterrumpidos, los afectados, así como los círculos políticos, se han mostrado asombrados de que los grupos de perpetradores, a pesar de los miles de millones en daños que han causado en todo el mundo, aparentemente no estén siendo perseguidos con la fuerza necesaria. La administración Putin también ha tenido que soportar la acusación de proteger activamente a los perpetradores, o al menos para conocer sus actividades y tolerarlas tácitamente. El gobierno ruso rechaza firmemente estas acusaciones. El hecho de que REvil, uno de los grandes jugadores en el campo de juego criminal, ahora se haya apagado por el momento, puede interpretarse de manera diferente en este contexto. Por ejemplo, como gesto de buena voluntad.

Calendario y cálculo

Algunos pueden preguntarse cómo puede ser que la eliminación de esta agrupación y sus actividades se esté haciendo pública. Después de todo, REvil no solo ha existido recientemente, sino que al igual que el grupo Emotet es casi algo así como una «base criminal». En la lista de los estadounidenses «Más buscados», los perpetradores detrás del grupo REvil están en la cima, sobre todo debido a los exitosos ataques contra Kaseya y el productor de alimentos JBS. Por lo tanto, algunos periodistas han interpretado los arrestos como un «disparo de advertencia» por parte de las autoridades rusas en dirección a los cerebros detrás de REvil y como una señal a otros grupos para que se abstengan de atacar objetivos estadounidenses. En otros lugares, se habla de una «víctima campesina», que calma a los Estados Unidos, pero no tiene mucha influencia en otros eventos de delitos cibernéticos.

Fichas de póker y sacrificios de peones

Pero por mucho que a Estados Unidos le gustaría llevar a los perpetradores ante la justicia y condenarlos (si su participación en el crimen puede probarse más allá de toda duda), es más que improbable que Rusia cumpla con una solicitud de extradición con respecto a los presuntos perpetradores. Esto está en línea con el enfoque que Rusia ya ha demostrado en el pasado y no transfiere a los delincuentes condenados a la jurisdicción extranjera. Efectivamente, esto significa que un perpetrador ya no puede salir del país, ya que se puede esperar un arresto inmediatamente al cruzar la frontera.

El ataque contra REvil bajo los auspicios del servicio de inteligencia nacional ruso FSB (que, entre otras cosas, realiza tareas aproximadamente equivalentes a las de la Oficina Alemana para la Protección de la Constitución) llega en un momento oportuno. Especialmente en el contexto de las tensiones en Ucrania, surge una interpretación que hace que los arrestos se interpreten como una concesión por parte del gobierno ruso, como una ficha de póquer en un juego en el que el gobierno de Putin deja en claro repetidamente que no quiere que la OTAN se expanda hacia el este.

Sin embargo, tales accesos son a menudo el resultado de una larga investigación. Un investigador conocido por el autor dijo sobre tales procedimientos: «Hay una cosa que todos en nuestro campo deberían aportar, y es una alta tolerancia a la frustración. A veces de repente nos damos cuenta de que hemos estado trabajando completamente para la papelera de reciclaje durante meses. Si no puedes manejarlo, no haces el trabajo por mucho tiempo».

Es hora de recuperar el aliento

Sin embargo, la euforia ante una acción policial exitosa contra una red criminal probablemente pronto se amortiguará. Después del final de Emotet en febrero de 2021, el «malware más peligroso del mundo» ya estaba de vuelta en noviembre de 2021, con nueva infraestructura y viejo brío. GandCrab/REvil/Sodinokibi también desarrollará nuevas actividades tarde o temprano. Sería muy sorprendente que no fuera así. Un éxito de cacería humana, cualquiera que sea la motivación en la que se base, en el mejor de los casos le da al mundo un breve respiro.

Enlace:  REvil: ¿Respiro calculado? | G DATOS (gdata.de) Blog de G DATA Tim Berghoff