Se confirma la vuelta de REvil

La diferencia es que, en el caso del río, sabemos que en realidad forma un gran acuífero subterráneo en Argamasilla de Alba, que vuelve a emerger a la superficie en Ojos del Guadiana. Sobre REvil, seguramente también hay quienes conozcan de primera mano las cavidades subterráneas en las que se oculta y desde las que emerge el grupo, pero para el resto de los mortales, es una enorme incógnita.

Muy, muy activos en 2020 y en los primeros meses de 2021, con algunas acciones muy sonadas, la mejora en las relaciones entre Estados Unidos y Rusia trajeron, de inmediato, lo que parecía la caída del grupo. Se produjeron algunas acciones que apuntaban a su vuelta, pero también algunas detenciones y, finalmente, todo quedó en agua de borrajas. Durante los últimos meses de 2021 y los primeros de este 2022 parecía que REvil ya solo era un recuerdo del pasado.

Sin embargo, el estallido de la guerra de Ucrania lo cambió todo. La colaboración entre Estados Unidos y Rusia a este respecto fue cancelada de inmediato y, muy poco después, se produjo una primera señal que apuntaba a la vuelta de REvil a sus operaciones. las direcciones que apuntaban a sus antiguos sitios en la deep web, que durante meses no apuntaron a nada, empezaron a redirigir a un nuevo sitio en el que el grupo empezaba a informar, de nuevo, sobre sus acciones.

Sin embargo, esto por sí mismo no era prueba suficiente como para dar por cierto el retorno de REvil. Al fin y al cabo, hablamos de una de las organizaciones más populares de los últimos tiempos, por lo que es bastante probable que otros grupos intentaran capitalizar «la marca» como si fuera propia, para lograr de este modo un extra de visibilidad en sus ataques y campañas. ¿Poco ético? Sin duda, pero hablamos de ciberdelincuentes, así que no debería extrañarnos en absoluto.

Sin embargo, según podemos leer en Bleeping Computer, el análisis de una nueva muestra de malware detectada in the wild sí que nos daría muestras de que el temible grupo vuelve a estar operativo. Y es que el análisis de dicho código tendría señales inequívocas de estar basado en los fuentes de el malware original de REvil, una herramienta a la que resulta muy, muy poco probable que sus responsables hayan compartido con terceros.

No parece casual, ni mucho menos, que la reaparición de REvil se produzca en el contexto de la guerra de Ucrania. Y es que, analizándolo con perspectiva, cada vez parece más claro que, de alguna manera, la administración rusa cuenta, desde hace bastante tiempo, con los medios necesarios para controlar la actividad del grupo. pues de lo contrario sería difícil explicar las detenciones y el cese de actividad del grupo justo en el momento en el que las relaciones con EEUU apuntaron en esa dirección. Correlación no implica caussaslidad, pero aún así…

La ciberguerra es un elemento clave en este conflicto, como ya te contamos hace unas semanas. Así, podemos entender que el Kremlin habría podido decidir sumar a REvil como un activo más en su cibercampaña contra objetivos occidentales. Y es que sí, es cierto, el principal objetivo del ransomware, la especialidad del grupo, es el beneficio económico, pero indudablemente el impacto de estas acciones repercute también en otros muchos aspectos. Y en una situación como la actual, no hay que ser un gurú para entender entender que cualquier golpe al rival suma en el marcador global.