El grupo de hackers REvil, una de las más peligrosa de la historia, ha quedado fuera de línea esta semana tas una operación conjunta del FBI y varios países, según Reuters.

El ransomware de los hackers había logrado afectar la infraestructura crítica de Estados Unidos con un ataque a Colonial Pipeline e infectado a millones de clientes del software Kaseya.

A través de su página web "Happy Blog", REvil publicaba muestras de la información y extorsionaba a las víctimas para que paguen el rescate. En caso de no hacerlo, filtraba lo datos robados.

Sin embargo, REvil detuvo sus operaciones por varias semanas. Cuando decidió volver, restauró su sitio web de una copia de seguridad que quedó comprometida por el FBI tras el ataque a Kaseya.

"Irónicamente, la táctica favorita de la pandilla de comprometer a las copias de seguridad se volvió en su contra", dijo Oleg Skulkin, subdirector del laboratorio forense forense de la compañía de seguridad liderada por Rusia Group-IB.

Ciertamente, las copias de seguridad son una de las herramientas más importantes para hacer frente a los ataques de ransomware. No obstante, estas deben mantenerse aisladas del sistema principal para no ser comprometidas.

Los hackers de REvil no tomaron las precauciones necesarias. Por consecuencia, el FBI tomó el control de algunos de sus servidores. "El servidor estaba comprometido y me estaban buscando", escribió uno de los integrantes de REvil en un foro pirata.

"Buena suerte a todos; Estoy fuera", sentenció, posiblemente ante el temor de ser descubierto por las autoridades. "Happy Blog" quedó finalmente fuera de línea y se estropearon los planes de regreso de REvil.

"El FBI, junto con el Comando Cibernético, el Servicio Secreto y países de ideas afines, realmente se han involucrado en acciones disruptivas significativas contra estos grupos", dijo Tom Kellerman, asesor del Servicio Secreto a Reuters.

La polémica del FBI y las claves de descifrado de REvil

Luego del ataque a Kaseya, el FBI logró obtener la clave de descifrado universal de REvil. Esta permitiría recuperar todos los archivos de los sistemas infectados por su ransomware sin pagar el rescate.

Pero la agencia estadounidense decidió mantenerlo en secreto durante tres semanas. Esto, con el objetivo de no alertar a los hackers y continuar con su operación para dejarla definitivamente fuera de línea.

"Desplegar las claves de inmediato podría haber ayudado a las víctimas, incluidas escuelas y hospitales, a evitar lo que los analistas estiman que fueron millones de dólares en costos de recuperación", reconoce el FBI.

Pero indican que decidieron no darlas a conocer, con el acuerdo de otras agencias, para "derribar las redes de los ciberdelincuentes". El FBI finalmente compartió la clave, pero muchas compañías reportaron pérdidas millonarias.