REvil, una peligrosa organización de ciberdelincuentes, perpetró el mayor ataque de ransomware de la historia tras afectar a más de un millón de computadoras en diferentes países del mundo al vulnerar la seguridad de la empresa de software Kaseya.
La banda, de origen ruso, utilizó a Nefilim, también conocido como el 'Robin Hood' de los malwares porque solamente ataca a empresas que facturan más de 1.000 millones de dólares.
Lo que se sabe acerca de REvil -también conocidos como Sodinkibi- es que se ha atribuido la autoría de los hechos, pero en cuanto a su ubicación exacta son todas conjeturas.
Es que se cree que tienen su sede en Rusia debido por la simple razón de que el grupo no apunta a organizaciones rusas, o aquellas en países del antiguo bloque soviético.
Además su modus operandi se basa en reclutar ‘agentes’ que distribuyan su ransomware y se dividen con ellos los ingresos generados por los pagos de rescate.
Los expertos en ciberseguridad sospechan que REvil es una rama de un grupo de cibercriminales que anteriormente también fue muy conocido: GandCrab.
Esta sospecha se basa en que REvil se activó por primera vez directamente después del cierre de GandCrab, y que ambos ransomware comparten una cantidad significativa de código, si bien el de Revil no es un código público.
Además cuentan con un amplio historial de ataques atribuidos por el FBI.
En el caso de Kaseya, en un primer momento la compañía pensó que la infección inicial habría alcanzado a menos de 40 clientes, pero como estos se encontraban conectados a muchos otros, el número de afectados por el ransomware se disparó rápidamente.
Aproximadamente una docena de países han tenido organizaciones afectadas por el ciberataque de alguna manera, entre los que se destacan España, Reino Unido, Sudáfrica, Canadá, Alemania, Estados Unidos, Colombia, Suecia, Kenia, Argentina, México, Holanda, Indonesia, Japón, Mauricio, Nueva Zelanda y Turquía.
Los cibercriminales están exigiendo 70 millones de dólares en Bitcoin para liberar los datos secuestrados.