Recientemente, el grupo de ciberdelincuentes conocido como REvil ha sido objeto de sanciones por parte de Estados Unidos, Reino Unido y Australia, tras su involucramiento en el importante ataque de datos a Medibank, una de las mayores compañías de seguros de salud en Australia.
¿Qué es REvil?
REvil, también conocido como Sodinokibi, es un grupo de ciberdelincuentes de alto perfil especializado en ransomware. Se han hecho infames por sus ataques a grandes empresas, pidiendo rescates millonarios por devolver los datos robados o no publicarlos. Este grupo ha estado operativo desde al menos 2019 y ha sido responsable de numerosos ataques cibernéticos a nivel mundial.
Conoce más sobre: REvil Ransomware: Entendiendo esta Amenaza
¿Cómo se produjo el ataque a Medibank?
Medibank es una compañía privada de seguros de salud que cubre a más de 3,9 millones de personas y cuenta con más de 4.000 empleados en Australia. El 29 de octubre de 2022, Medibank sufrió un ataque de ransomware que comprometió su red informática y afectó a sus operaciones y servicios.
El ataque fue atribuido al grupo de ciberdelincuentes REvil, una de las bandas de ransomware más notorias y activas del mundo, hasta que desapareció en julio de 2021. REvil operaba como un servicio de ransomware como servicio (RaaS), es decir, ofrecía su software malicioso a otros hackers a cambio de una comisión por cada rescate pagado.
Durante el ataque, los hackers de REvil robaron información personal e información médica sensible de unos 9,7 millones de clientes actuales y anteriores de Medibank, incluyendo nombres, fechas de nacimiento, números de Medicare y registros sobre salud mental, salud sexual y consumo de drogas. Algunos de estos registros fueron filtrados en la dark web, lo que supone un grave riesgo para la privacidad y la seguridad de las víctimas.
Los hackers exigieron a Medibank un rescate de 75 millones de dólares en criptomonedas para detener la filtración y restaurar el acceso a los sistemas, pero la compañía se negó a pagar y recurrió a las autoridades y a expertos en ciberseguridad para investigar el incidente y mitigar sus efectos.
Podría interesarte leer: Evita el Pago de Ransomware: Riesgos del Rescate
Respuesta Internacional
Los gobiernos de Australia, Estados Unidos y el Reino Unido han anunciado sanciones contra Aleksandr Gennadievich Ermakov, un ciudadano ruso considerado responsable del ciberataque a Medibank en 2022 y miembro del grupo de ransomware REvil. Medibank es un importante proveedor de seguros médicos en Australia que sufrió un ataque de ransomware en octubre de 2022, causando interrupciones en sus operaciones y negocios.
Tras una investigación interna, se descubrió que los piratas informáticos habían accedido a una gran cantidad de datos personales de los clientes. A principios de noviembre de 2022, el atacante filtró datos robados de aproximadamente 10 millones de personas.
Estos datos incluían nombres, direcciones de correo electrónico, números de teléfono, direcciones físicas, números de pasaporte, información sobre reclamaciones de salud y detalles de proveedores de atención médica.
Después de una extensa investigación, las autoridades australianas identificaron a Ermakov como el responsable del hackeo y el robo de datos de Medibank. También vincularon varios alias en línea a Ermakov, incluyendo GustaveDore, aiiis_ermak, blade_runner y JimJone. Estados Unidos y el Reino Unido también anunciaron sanciones contra Ermakov en un comunicado conjunto con Australia.
El subsecretario del Tesoro de Estados Unidos, Brian E. Nelson, expresó: "Los ciberactores rusos continúan lanzando ataques disruptivos de ransomware contra Estados Unidos y países aliados, dirigidos a nuestros negocios, incluida la infraestructura crítica, para robar datos confidenciales. La acción trilateral de hoy con Australia y el Reino Unido, la primera de este tipo, subraya nuestra determinación colectiva de hacer que estos criminales rindan cuentas".
Te podrá interesar leer: Seguridad de Infraestructuras Críticas con Wazuh
Aunque se sabe poco sobre Ermakov, se descubrió a alguien que utilizaba el alias 'GustaveDore' en un foro de piratería de habla rusa para ofrecer servicios de desarrollo PHP.
El ataque a Medibank, considerado el más perjudicial en la historia de Australia, fue atribuido a un grupo de ransomware llamado 'BlogXXX', que se cree que es un resurgimiento de la operación REvil, la cual fue cerrada en octubre de 2021 después de arrestos notorios por parte del gobierno ruso.
El Ministro de Interior y Seguridad Cibernética de Australia confirmó que Ermakov era miembro de la operación REvil y no fue detenido por Rusia a principios de 2022 junto con otros miembros del grupo.
Aunque es posible que Ermakov no le preste atención a las sanciones ni encuentre formas de evadirlas, es probable que su actividad ilegal se vea afectada por estas restricciones. Abigail Bradshaw, directora del Centro Australiano de Seguridad Cibernética, señaló que "los ciberdelincuentes dependen del anonimato", y ahora que su identidad es conocida, tendrá dificultades para operar sin restricciones.
Dado que las sanciones incluyen un componente financiero en respuesta al ciberataque a Medibank Private, cualquier persona que proporcione activos a Ermakov, incluidos pagos con criptomonedas o ransomware, estaría cometiendo un delito. El gobierno australiano espera que esto disuada a otros de asociarse con Ermakov en busca de ganancias financieras, ya sean legales o ilegales.
Conoce más sobre: Hackers rusos hurtan emails de Microsoft
Conclusión
Las recientes sanciones contra el grupo REvil por el ataque a Medibank marcan un punto de inflexión en la lucha global contra el cibercrimen. Mientras que representan un paso significativo en la dirección correcta, queda claro que la batalla contra los ciberdelincuentes es continua y requiere un enfoque multifacético. La colaboración internacional, junto con la adopción de prácticas de ciberseguridad sólidas por parte de las empresas y los individuos, será vital para salvaguardar nuestra información y privacidad en la era digital.