REvil: arrestos en Rusia y el dilema geopolítico

El titular

14 de enero de 2022. El FSB (Servicio Federal de Seguridad de Rusia) anuncia la detención de 14 miembros de REvil/Sodinokibi en operaciones coordinadas en Moscú, San Petersburgo, Lipetsk y otras ciudades. Es la primera vez que Rusia arresta a operadores de ransomware de alto perfil en su propio territorio.

El contexto lo explica todo: Biden había presionado repetidamente a Putin sobre ransomware. Las tensiones sobre Ucrania estaban en su punto máximo. Los arrestos de REvil fueron interpretados como una señal diplomática, no necesariamente como un cambio de política hacia el cibercrimen.

REvil: el grupo

Orígenes

REvil (también conocido como Sodinokibi) apareció en abril de 2019, como sucesor de GandCrab. Operaba como RaaS con un modelo de afiliados agresivo: los afiliados recibían el 60-70% del rescate (mejor que la mayoría de competidores).

Ataques notables

Travelex (enero 2020): 2.3M USD de rescate por atacar al servicio de cambio de divisas.

JBS (mayo 2021): la procesadora de carne más grande del mundo pagó 11M USD. El ataque amenazó la cadena de suministro alimentario de EEUU.

Kaseya (julio 2021): supply chain attack contra el software de gestión remota Kaseya VSA. A través de Kaseya, REvil infectó a 1,500+ empresas en todo el mundo simultáneamente. Pidieron 70M USD por un decryptor universal.

El "Happy Blog"

REvil operaba un sitio de leaks llamado "Happy Blog" donde publicaban datos de víctimas que no pagaban. El sitio era activamente monitoreado por la comunidad de CTI y periodistas.

La presión de Biden

Junio 2021: la cumbre

En la cumbre de Ginebra (junio 2021), Biden entregó a Putin una lista de 16 sectores de infraestructura crítica que EEUU consideraba "fuera de límites" para ciberataques. Biden advirtió que EEUU respondería si ataques de ransomware desde Rusia continuaban.

Julio 2021: Kaseya

Semanas después de la cumbre, REvil ejecutó el ataque a Kaseya. Biden llamó a Putin y le dijo explícitamente que actuara contra los grupos de ransomware operando desde Rusia.

Julio 2021: desaparición temporal

El 13 de julio, toda la infraestructura de REvil desapareció: servidores, sitios .onion, foros. No hubo takedown público. La desaparición fue interpretada como una respuesta a la presión de Putin (REvil se autodesactivó o el FSB les ordenó parar).

Septiembre 2021: reaparición y takedown

REvil reapareció brevemente en septiembre. En octubre, el FBI y socios internacionales ejecutaron un takedown técnico, comprometiendo los servidores de backup de REvil que habían sido reactivados.

Los arrestos del FSB

Enero de 2022

El FSB anunció la detención de 14 personas vinculadas a REvil. Los videos del FSB mostraron registros en apartamentos, incautación de coches de lujo, criptomonedas y efectivo. Se identificaron los detenidos como operadores y desarrolladores del grupo.

El timing geopolítico

Los arrestos coincidieron con:

• Negociaciones EEUU-Rusia sobre la crisis de Ucrania (que culminaría en invasión en febrero 2022)
• Meses de presión diplomática de Biden sobre ransomware
• La necesidad de Putin de mostrar "buena voluntad" mientras preparaba la invasión

Después de la invasión

Tras la invasión de Ucrania (febrero 2022), la cooperación EEUU-Rusia en cibercrimen cesó. Algunos de los detenidos de REvil fueron liberados o sus casos se estancaron. El mensaje quedó claro: los arrestos fueron una herramienta diplomática, no un cambio de política.

Las lecciones

1. El cibercrimen ruso es un instrumento geopolítico

Los arrestos y las liberaciones de cibercriminales rusos se correlacionan con el estado de las relaciones diplomáticas, no con la gravedad de los crímenes. Rusia actúa contra el cibercrimen cuando le conviene diplomáticamente.

2. La presión presidencial funciona (temporalmente)

La presión directa de Biden sobre Putin logró la desaparición temporal de REvil y los arrestos del FSB. Pero el efecto fue temporal: tras la invasión de Ucrania, la cooperación desapareció.

3. El supply chain amplifica el impacto

El ataque a Kaseya infectó 1,500 empresas a través de un solo proveedor. Es el mismo patrón que SolarWinds y MOVEit: comprometer al proveedor = comprometer a todos sus clientes.

4. El RaaS es resiliente

Destruir REvil como marca no destruyó a sus operadores. Los afiliados migraron a BlackCat, Hive, LockBit. El modelo RaaS permite a los criminales cambiar de "franquicia" sin perder expertise.

Estado actual

REvil como marca: muerto. Algunos miembros: en proceso judicial en Rusia (estado incierto). Afiliados: dispersos en otros RaaS. La lección geopolítica: mientras Rusia proteja a sus cibercriminales como activos estratégicos, los takedowns tendrán efecto limitado.