Yaroslav Vasinskyi, ucraniano, también conocido como Rabotnik, de 24 años,ha sido sentenciado a 13 años y siete meses de prisión y se le ordenó pagar más de 16 millones de dólares en restitución por su papel en la realización de más de 2.500 ataques de ransomware y exigir más de 700 millones de dólares en pagos de rescate. Vasinskyi fue sido extraditado en marzo de 2022 a Estados Unidos desde Polonia.

La buena noticia es que se ha publicado un descifrador gratuito del ransomware REvil / Sodinokibi, que permite a las víctimas de ataques realizados antes del 13 de julio de 2021 restaurar sus archivos sin tener que pagar a los ciberdelincuentes. Y la mala noticia es que los responsables de Sodinokibi,  uno de los grupos más longevos de su historia, que habían estado un tiempo inactivos (unos 2 meses), están de nuevo en funcionamiento , en búsqueda de nuevas víctimas. Con su vuelta uno ya se puede uno imaginar que el parón fue debido a la policía incautó parte de su infraestructura y por eso consiguió las claves maestras del cifrado y ahora el grupo ha vuelto con una nueva infraestructura, y con nuevas claves de cifrado que harán inútil la herramienta para las nuevas víctimas.

 

El peligroso grupo de origen ruso llamado REvil (Sodinokibi) que atacó exitosamente al Grupo MasMovil en España ha efectuado su plan perfecto, atacando través del software de gestión de la estadounidense (Miami, Florida) Kaseya ASV utilizando por miles de empresas en todo el mundo. Según telemetria de la compañía Eset también hay empresas víctimas de España en el ataque cadena de suministro de Kaseya VSA del Grupo Ransomware REvil . Podría ser el ataque más grave vivido hasta el momento. Podrían ser más de 1.000 empresas están afectadas en Estado Unidos y no 200 como se dijo en un primer momento. El problema es que podrían ser muchas más, Kaseya tiene hasta 40.000 clientes. En un reciente comunicado piden un rescate de 70 millones de dólares en BTC y afirman haber infectado 1 millón de sistemas. Kaseya confirma que hay entre 800 y 1.500 empresas afectadas.

Grupo MASMOVIL, formado por YOIGO, MASMOVIL, Pepephone, Lebara, Lycamobile y Llamaya, es una nueva víctima de uno de los grupos de rasnomware más prolíficos, llamado REvil - Sodinokibi. Otras empresas han sido víctimas del mismo ransomware de origen ruso, como Adif, Acer, FujiFilm,Orange, Telecom Argentina. El grupo Ruso REvil no se anda con con tonterías, o pagan el rescate por no filtrar los datos o los publicarán. Ya lo hicieron con ADIF, con 800GB datos robados. Algunos medios de comunicación han explicado erróneamente que el grupo ha exigido "1.9 billones" de rescate. El Grupo REvil publica habitualmente los ingresos de la compañía, no la cantidad exigida por el rescate. Ahora bien, en función de los ingresos anuales de la empresa afectada, pedirá una mayor o menor cantidad de rescate.

Primero fue la Casa Blanca que en un comunicado confirmo que el mayor productor de carne de vacuno del mundo, (245 mil empelados) la empresa JBS fue afectado por un ataque de rransomware coordinado por un grupo probablemente de Rusia. Y ahora ha sido el FBI el que ha confirmado los atacantes son el conocido grupo REvil (Sodinokibi)

The DFir Report publica en inglés un completo análisis del ransomware Sodinokibi (también conocido como REvil) ha sido uno de los grupos de ransomware como servicio (RaaS) más prolíficos en los últimos dos años. Se suponía que la familia de ransomware estaba detrás de la intrusión de Travelex y los informes actuales apuntan a un ataque contra Acer por la demanda de rescate más grande de un ataque de ransomware: 50 millones de dólares. Completo análisis Ransomware REvil (Sodinokibi) explica que utiliza el dropper IcedID, un documento macro xlsm que descarga gif ejecutable y utiliza la conocida herramienta de copias de seguridad rclone (inyectada en el proceso svchost) para exfiltrar datos, con un  de tiempo total TTR (Time to Ransom) de 4,5h

El grupo de Ransomware REvil exigen un rescate de $50 millones de dólares a Acer  en lo que podría ser la mayor cantidad de dinero jamás pedida en un ataque de ransomware hasta la fecha. Acer es el sexto vendedor de ordenadores del mundo El grupo operador de REvil recientemente estuvo desplegando múltiples ataques contra algunos servidores de Microsoft Exchange

 Como sucedió con el caso de Migraciones de Argentina a fines de octubre, ciberdelincuentes lograron extraer información del dominio de Vialidad de Argentina.gob.ar y secuestraron 50 GB de información. Como siempre, los delincuentes amenazan con publicar la información en una semana. También el CTAG – Centro Tecnológico de Automoción de Galicia dónde afirman haber robado más de 500GB de información. Es el mismo ransomware que afectó a la empresa Española Adif en Julio de éste mismo año.