Yaroslav Vasinskyi, ucraniano, también conocido como Rabotnik, de 24 años,ha sido sentenciado a 13 años y siete meses de prisión y se le ordenó pagar más de 16 millones de dólares en restitución por su papel en la realización de más de 2.500 ataques de ransomware y exigir más de 700 millones de dólares en pagos de rescate. Vasinskyi fue sido extraditado en marzo de 2022 a Estados Unidos desde Polonia.

Killnet es un grupo con fuertes vínculos "indirectos" los objetivos estratégicos del gobierno ruso, que utiliza principalmente la denegación de servicio distribuida (DDoS) como vector de ataque preferido. Si bien el impacto del grupo ha sido limitado hasta la fecha, existen sólidos indicadores de que Killnet continuará desarrollándose y escalando sus ataques a través de redes maliciosas.

 Muy, muy activos en 2020 y en los primeros meses de 2021, con algunas acciones muy sonadas, la mejora en las relaciones entre Estados Unidos y Rusia trajeron, de inmediato, lo que parecía la caída del grupo. Se produjeron algunas acciones que apuntaban a su vuelta, pero también algunas detenciones y, finalmente, todo quedó en agua de borrajas. Durante los últimos meses de 2021 y los primeros de este 2022 parecía que REvil ya solo era un recuerdo del pasado.

 El Servicio de Seguridad Federal de Rusia (FSB) anunció este viernes que detuvo a miembros de REvil y neutralizó la infraestructura delictiva asociada a sus delitos con ransomware. Como consecuencia de estas acciones, señala, "la comunidad criminal organizada ha dejado de existir".

Desenmascarado ruso Yeveniy Polyanin operador de REvil buscado por el FBI por 'usar ransomware para saquear millones de dólares' a los estadounidenses en su lujoso escondite en Siberia mientras el Kremlin hace la vista gorda

El Departamento de Justicia  de Estados Unidos anuncia la detención de varios ciberdelincuente, por supuestamente estar vinculado con el grupo cibercriminal REvil. Uno de los arrestados se llama Yaroslav Vasinskyi y es un ciudadano ucraniano de 22 años.

La buena noticia es que se ha publicado un descifrador gratuito del ransomware REvil / Sodinokibi, que permite a las víctimas de ataques realizados antes del 13 de julio de 2021 restaurar sus archivos sin tener que pagar a los ciberdelincuentes. Y la mala noticia es que los responsables de Sodinokibi,  uno de los grupos más longevos de su historia, que habían estado un tiempo inactivos (unos 2 meses), están de nuevo en funcionamiento , en búsqueda de nuevas víctimas. Con su vuelta uno ya se puede uno imaginar que el parón fue debido a la policía incautó parte de su infraestructura y por eso consiguió las claves maestras del cifrado y ahora el grupo ha vuelto con una nueva infraestructura, y con nuevas claves de cifrado que harán inútil la herramienta para las nuevas víctimas.

 

El peligroso grupo de origen ruso llamado REvil (Sodinokibi) que atacó exitosamente al Grupo MasMovil en España ha efectuado su plan perfecto, atacando través del software de gestión de la estadounidense (Miami, Florida) Kaseya ASV utilizando por miles de empresas en todo el mundo. Según telemetria de la compañía Eset también hay empresas víctimas de España en el ataque cadena de suministro de Kaseya VSA del Grupo Ransomware REvil . Podría ser el ataque más grave vivido hasta el momento. Podrían ser más de 1.000 empresas están afectadas en Estado Unidos y no 200 como se dijo en un primer momento. El problema es que podrían ser muchas más, Kaseya tiene hasta 40.000 clientes. En un reciente comunicado piden un rescate de 70 millones de dólares en BTC y afirman haber infectado 1 millón de sistemas. Kaseya confirma que hay entre 800 y 1.500 empresas afectadas.

Grupo MASMOVIL, formado por YOIGO, MASMOVIL, Pepephone, Lebara, Lycamobile y Llamaya, es una nueva víctima de uno de los grupos de rasnomware más prolíficos, llamado REvil - Sodinokibi. Otras empresas han sido víctimas del mismo ransomware de origen ruso, como Adif, Acer, FujiFilm,Orange, Telecom Argentina. El grupo Ruso REvil no se anda con con tonterías, o pagan el rescate por no filtrar los datos o los publicarán. Ya lo hicieron con ADIF, con 800GB datos robados. Algunos medios de comunicación han explicado erróneamente que el grupo ha exigido "1.9 billones" de rescate. El Grupo REvil publica habitualmente los ingresos de la compañía, no la cantidad exigida por el rescate. Ahora bien, en función de los ingresos anuales de la empresa afectada, pedirá una mayor o menor cantidad de rescate.

 Aunque en un primer comunicado la empresa afirmo haber sido víctima de un sofisticado ciberataque, finalmente en la actualización del comunicado confirman que se trató de un ataque exitoso de ransomware. FUJIFILM investiga el ataque y ha cerrado partes de su red para evitar la propagación - Fuji, sede en Tokio, Japón,  facturó $ 20,1 mil millones en 2020 y tiene 37,151 empleados. Entre sus productos: destacan fotocopiadoras e impresoras (XEROX) y cámaras digitales. Ante la gravedad del problema Estados Unidos (La Casa Blanca) se plantea tratar el tema con la misma prioridad que el terrorismo e insta a las empresas a "tomarse en serio los delitos de ransomware".

Primero fue la Casa Blanca que en un comunicado confirmo que el mayor productor de carne de vacuno del mundo, (245 mil empelados) la empresa JBS fue afectado por un ataque de rransomware coordinado por un grupo probablemente de Rusia. Y ahora ha sido el FBI el que ha confirmado los atacantes son el conocido grupo REvil (Sodinokibi)

 Los operadores de ransomware DarkSide se retiran después del hackeo de Colonial Pipeline. Numerosos operadores de ransomware y foros de ciberdelincuencia afirman que su infraestructura se ha desconectado, modificando sus reglas, o están abandonando el ransomware por completo debido a la gran cantidad de atención negativa dirigida a ellos durante la semana pasada.

Ransomware Revil está extorsionando a la empresa Quanta Computer, fabricante de Taiwán de dispositivos hardware y el mayor fabricante de portátiles del mundo. Es el fabricante de Apple Watch, Apple Macbook Air y Apple Macbook Pro. Amenazan con publicar presentaciones de productos de Apple como Watch - Macbook Air y Pro si no pagan 50 millones de dólares antes del 27 de abril, o $ 100 millones después.

The DFir Report publica en inglés un completo análisis del ransomware Sodinokibi (también conocido como REvil) ha sido uno de los grupos de ransomware como servicio (RaaS) más prolíficos en los últimos dos años. Se suponía que la familia de ransomware estaba detrás de la intrusión de Travelex y los informes actuales apuntan a un ataque contra Acer por la demanda de rescate más grande de un ataque de ransomware: 50 millones de dólares. Completo análisis Ransomware REvil (Sodinokibi) explica que utiliza el dropper IcedID, un documento macro xlsm que descarga gif ejecutable y utiliza la conocida herramienta de copias de seguridad rclone (inyectada en el proceso svchost) para exfiltrar datos, con un  de tiempo total TTR (Time to Ransom) de 4,5h

El grupo de Ransomware REvil exigen un rescate de $50 millones de dólares a Acer  en lo que podría ser la mayor cantidad de dinero jamás pedida en un ataque de ransomware hasta la fecha. Acer es el sexto vendedor de ordenadores del mundo El grupo operador de REvil recientemente estuvo desplegando múltiples ataques contra algunos servidores de Microsoft Exchange

 Como sucedió con el caso de Migraciones de Argentina a fines de octubre, ciberdelincuentes lograron extraer información del dominio de Vialidad de Argentina.gob.ar y secuestraron 50 GB de información. Como siempre, los delincuentes amenazan con publicar la información en una semana. También el CTAG – Centro Tecnológico de Automoción de Galicia dónde afirman haber robado más de 500GB de información. Es el mismo ransomware que afectó a la empresa Española Adif en Julio de éste mismo año.

Se ha realizado una entrevista en Ruso a un colaborador del malware REvil. En la entrevista han hablando de los beneficios económicos increíbles  $ 100,000,000 USD al año  del ransomware principalmente de origen ruso. De hecho éste mismo año, otros como el ransomware NetWalker han ganado más de 25 millones de dólares desde marzo de 2020. El grupo REvil  logró con éxito el ataque ransomware a la empresa ADIF con más de 800GB datos secuestrados. También se afirma que REvil ransomware hackeó la empresa de juegos Gaming Partners International robando 540GB de datos confidenciales.