REvil/Sodinokibi: El Ransomware que Atacó la Cadena de Suministro con Kaseya
Análisis técnico de REvil (Sodinokibi): desde su nacimiento como sucesor de GandCrab hasta el ataque masivo a Kaseya VSA, el rescate récord de 70 millones USD, la infraestructura incautada por el FSB y los arrestos que marcaron un precedente.
De GandCrab a REvil: la sucesión
La historia de REvil no comienza en 2019, sino en 2018 con GandCrab. GandCrab fue uno de los primeros programas RaaS exitosos, generando ingresos masivos con un modelo de afiliados agresivo. En junio de 2019, los operadores de GandCrab publicaron un comunicado de "retiro" en Exploit Forum, afirmando haber ganado más de 2.000 millones USD (una cifra probablemente exagerada pero que reflejaba un negocio enormemente rentable).
Semanas después apareció REvil (también llamado Sodinokibi). El análisis técnico del código reveló similitudes significativas con GandCrab: mismas rutinas criptográficas base, patrones similares en la ofuscación de strings, y solapamiento en la infraestructura C2. La comunidad de threat intelligence concluyó que al menos parte del equipo de GandCrab había creado REvil.
Perfil del grupo
| Atributo | Detalle |
|---|---|
| Nombres | REvil, Sodinokibi, Pinchy Spider (CrowdStrike), Gold Southfield (Secureworks) |
| Activo | Abril 2019 - Octubre 2021 (breve resurrección enero 2022) |
| Predecesor | GandCrab |
| Modelo | RaaS con porcentaje (60-70% afiliado, 30-40% operador inicialmente, luego 70-80/20-30) |
| Origen | Rusia (confirmado por arrestos del FSB) |
| Representante en foros | "UNKN" o "Unknown" en Exploit Forum y XSS Forum |
| Ingresos estimados | 200+ millones USD |
Arquitectura técnica
Cifrado
REvil empleaba un esquema criptográfico sofisticado con múltiples capas:
| Componente | Algoritmo | Uso |
|---|---|---|
| Cifrado de archivos | Salsa20 (variantes tempranas), AES-256-CTR (variantes posteriores) | Cifrado de contenido de archivos |
| Cifrado de claves por archivo | Curve25519 (ECDH) | Cifrar la clave Salsa20/AES de cada archivo |
| Cifrado de clave de sesión | RSA-4096 (operator key) | Proteger la clave de sesión de la víctima |
| Configuración | RC4 | Descifrar la configuración embebida |
La evolución de Salsa20 a AES en versiones posteriores reflejaba la maduración técnica del equipo de desarrollo.
Configuración embebida
REvil almacenaba su configuración en el binario, cifrada con RC4. La configuración incluía:
{
"pk": "[clave publica operator en base64]",
"pid": "[affiliate ID]",
"sub": "[campaign sub-ID]",
"dbg": false,
"et": 2,
"wipe": true,
"wht": {
"fld": ["windows", "program files", "$recycle.bin"],
"fls": ["ntldr", "bootmgr", "thumbs.db"],
"ext": [".exe", ".dll", ".sys", ".lnk"]
},
"prc": ["sql", "oracle", "ocssd", "dbsnmp", "synctime"],
"svc": ["vss", "sql", "svc$", "memtas", "veeam", "backup"],
"nbody": "[nota de rescate en base64]",
"nname": "{EXT}-readme.txt",
"exp": false,
"img": "[wallpaper message]",
"net": true,
"dmn": "dominio1.com;dominio2.com;dominio3.com"
}
El campo pid (affiliate ID) permitía al operador rastrear qué afiliado ejecutó qué ataque, fundamental para el reparto de beneficios.
Funcionalidades clave
Elevación de privilegios: REvil incluía exploits para escalada local (CVE-2018-8453, una vulnerabilidad en Win32k.sys) para obtener privilegios de SYSTEM.
Propagación en red: enumeración de hosts en la red local y cifrado de shares de red accesibles.
Detención de procesos y servicios: lista configurable de procesos y servicios a terminar antes del cifrado.
Eliminación de shadow copies: comando estándar de eliminación de VSS.
Wallpaper: cambio del fondo de escritorio con mensaje de rescate.
Safe Mode boot: algunas versiones podían reiniciar Windows en Safe Mode with Networking para cifrar archivos que estarían bloqueados en modo normal (bases de datos, Exchange).
El backdoor secreto del operador
En 2021, tras la incautación de infraestructura de REvil, investigadores descubrieron que los operadores habían implementado un backdoor en el propio ransomware que les permitía descifrar archivos sin la participación del afiliado.
El mecanismo: además de la clave del afiliado, cada payload contenía una segunda clave RSA del operador. Las claves de cifrado de archivos se cifraban con ambas claves. Esto significaba que:
- El afiliado podía descifrar con su clave (el flujo normal)
- El operador también podía descifrar con su propia clave (sin que el afiliado lo supiera)
Las implicaciones:
- Los operadores podían negociar directamente con víctimas "por detrás" del afiliado
- Podían quedarse con el 100% del rescate excluyendo al afiliado
- El afiliado no tenía forma de verificar si el operador había cobrado por separado
Cuando esto se hizo público, erosionó significativamente la confianza en el programa de afiliados de REvil. Los afiliados migran a programas donde el reparto es más transparente.
Ataques notables
Travelex (enero 2020)
REvil atacó Travelex, empresa global de cambio de divisas, en la noche de Año Nuevo 2019-2020:
- Sistemas en 30 países offline durante semanas
- Servicios de cambio de divisas interrumpidos globalmente
- Travelex pagó 2,3 millones USD en Bitcoin (según Wall Street Journal)
- La empresa entró en administración externa meses después, parcialmente debido al impacto del ataque
JBS Foods (junio 2021)
REvil atacó JBS, la mayor procesadora de carne del mundo:
- Plantas de procesamiento en EEUU, Australia y Canadá cerradas
- Amenaza a la cadena de suministro alimentario
- JBS pagó 11 millones USD en Bitcoin
- El FBI atribuyó el ataque a REvil públicamente
Kaseya VSA (julio 2021): el ataque supply chain
El ataque a Kaseya fue el momento definitorio de REvil y uno de los ataques de ransomware más significativos de la historia.
Kaseya VSA es un software de Remote Monitoring and Management (RMM) usado por Managed Service Providers (MSPs) para gestionar los sistemas de sus clientes. Un solo servidor Kaseya VSA puede gestionar cientos o miles de endpoints de clientes.
El exploit: REvil explotó una vulnerabilidad zero-day en los servidores Kaseya VSA on-premise (CVE-2021-30116, una vulnerabilidad de authentication bypass y SQL injection). La ironía: un investigador del DIVD (Dutch Institute for Vulnerability Disclosure) había descubierto la vulnerabilidad y la había reportado a Kaseya, que estaba en proceso de parchearlo cuando REvil atacó.
La cadena de ataque:
- REvil explotó servidores Kaseya VSA expuestos a Internet
- Usó la funcionalidad legítima de Kaseya VSA para distribuir el ransomware como una "actualización de software" a todos los endpoints gestionados
- Los MSPs comprometidos sirvieron como vector de distribución involuntario
- El ransomware se ejecutó simultáneamente en los endpoints de los clientes finales de los MSPs
Impacto:
| Métrica | Valor |
|---|---|
| MSPs comprometidos | ~60 |
| Organizaciones afectadas (clientes de MSPs) | 800 - 1.500 |
| Países afectados | 17+ |
| Rescate individual (por víctima) | 45.000 - 5 millones USD |
| Rescate universal (decryptor para todos) | 70 millones USD |
El rescate de 70 millones fue la demanda más alta jamás registrada públicamente.
El decryptor misterioso: el 22 de julio de 2021, Kaseya anunció que había obtenido un "decryptor universal" de una "tercera parte de confianza". No reveló la fuente. Posteriormente se reportó que el FBI había obtenido las claves de descifrado (probablemente de la incautación de infraestructura de REvil) y las proporcionó a Kaseya.
Quanta Computer (abril 2021)
REvil atacó Quanta Computer, fabricante taiwanés que produce MacBooks para Apple:
- Robaron esquemas de diseño de productos Apple no lanzados
- Exigieron 50 millones USD
- Publicaron algunos diseños de MacBook Pro (que coincidieron con los productos lanzados posteriormente por Apple)
- El caso demostró que los ataques a supply chain afectan incluso a las empresas más grandes
La caída de REvil
Julio 2021: la desaparición
El 13 de julio de 2021, dos semanas después del ataque a Kaseya, toda la infraestructura de REvil desapareció de Internet:
- Leak site ("Happy Blog") offline
- Portales de pago offline
- Servidores C2 no respondían
- El usuario "UNKN" dejó de publicar en foros
La razón exacta nunca fue confirmada oficialmente. Las teorías:
- Presión diplomática de EEUU sobre Rusia (Biden había advertido a Putin sobre ransomware en la cumbre de Ginebra, junio 2021)
- Acción del gobierno ruso a petición de EEUU
- Decisión propia de los operadores de "quemar" la marca por exceso de exposición
- Operación encubierta de alguna agencia de inteligencia
Septiembre 2021: el regreso fallido
En septiembre de 2021, REvil intentó volver con nueva infraestructura. Pero había un problema: las claves de descifrado se habían comprometido. El FBI había obtenido acceso a los servidores de REvil (aparentemente mediante cooperación internacional) y tenía copias de las claves maestras.
Los afiliados descubrieron que no podían descifrar víctimas anteriores correctamente, lo que destruyó la confianza en el programa.
Enero 2022: arrestos del FSB
El 14 de enero de 2022, el FSB (Servicio Federal de Seguridad de Rusia) anunció la detención de 14 miembros de REvil en redadas en Moscú, San Petersburgo y Lipetsk:
- Incautación de 426 millones de rublos, 600.000 USD, 500.000 EUR en efectivo
- 20 coches de lujo confiscados
- Múltiples propiedades embargadas
- Cargos por "circulación ilegal de medios de pago"
Fue un evento sin precedentes: la primera vez que Rusia tomaba acción pública contra un grupo de ransomware en su territorio. El contexto geopolítico (pre-invasión de Ucrania, cuando Rusia aún buscaba cierta cooperación con Occidente) fue probablemente un factor.
Otros arrestos
| Persona | País | Fecha | Detalle |
|---|---|---|---|
| Yaroslav Vasinskyi | Ucrania/Polonia | Oct 2021 | Afiliado responsable del ataque a Kaseya. Extraditado a EEUU, declarado culpable |
| Yevgeniy Polyanin | Rusia | Acusado por DOJ | 3.000+ víctimas, 13 millones USD incautados |
| 14 miembros | Rusia | Ene 2022 | Redada del FSB |
Vasinskyi fue sentenciado en EEUU a 13 años y 7 meses de prisión y al pago de 16 millones USD en restitución.
TTPs y mapeo MITRE ATT&CK
| Táctica | Técnica | ID | Uso por REvil |
|---|---|---|---|
| Initial Access | Exploit Public-Facing App | T1190 | Kaseya VSA zero-day |
| Initial Access | Phishing | T1566 | Campañas de spam con adjuntos |
| Execution | Command and Scripting Interpreter | T1059 | PowerShell, cmd.exe |
| Persistence | Boot or Logon Autostart | T1547 | Registry Run keys |
| Privilege Escalation | Exploitation for Privilege Escalation | T1068 | CVE-2018-8453 (Win32k) |
| Defense Evasion | Obfuscated Files or Information | T1027 | RC4 en configuración, packing |
| Discovery | System Information Discovery | T1082 | Idioma del sistema, tipo de procesador |
| Lateral Movement | SMB/Windows Admin Shares | T1021.002 | Cifrado de shares de red |
| Impact | Data Encrypted for Impact | T1486 | Cifrado con Salsa20/AES + RSA/ECDH |
| Impact | Inhibit System Recovery | T1490 | Eliminación de shadow copies |
| Impact | Service Stop | T1489 | Detención de servicios SQL, backup, AV |
Legado
REvil demostró tres cosas que transformaron el panorama del ransomware:
Supply chain como vector: el ataque a Kaseya probó que comprometer un solo proveedor de software puede afectar a miles de organizaciones simultáneamente. Otros grupos (Cl0p con MOVEit, 3CX) siguieron este modelo.
Los gobiernos pueden actuar: la combinación de presión diplomática, operaciones del FBI y la acción del FSB demostró que cuando el ransomware afecta intereses nacionales (Colonial Pipeline + Kaseya en el mismo mes), los gobiernos pueden y van a responder. Esto no eliminó el ransomware, pero cambió el cálculo de riesgo para los operadores.
La confianza es frágil: el backdoor del operador, la desaparición sin aviso y el compromiso de las claves demostraron que la relación operador-afiliado es inherentemente precaria. Este factor impulsa la competencia entre programas RaaS por ofrecer mayor transparencia y confiabilidad.
Fuentes y referencias
- CISA. "#StopRansomware: REvil/Sodinokibi." Advisory, 2021.
- FBI. "FBI Statement on Kaseya Ransomware Attack." July 2021.
- Kaseya. "Kaseya VSA Supply-Chain Ransomware Attack: Updates." July 2021.
- U.S. Department of Justice. "Ukrainian Arrested and Charged with Ransomware Attack on Kaseya." November 2021.
- U.S. Department of Justice. "Sodinokibi/REvil Ransomware Defendant Sentenced." May 2024.
- FSB. Press release on REvil arrests. January 14, 2022.
- Chainalysis. "REvil Financial Analysis." 2021.
- Secureworks. "Gold Southfield Threat Profile." Secureworks CTU, 2021.
- CrowdStrike. "Pinchy Spider Analysis." CrowdStrike Intelligence, 2021.
- DIVD. "Kaseya Case: How DIVD Discovered the Vulnerability." July 2021.
- BleepingComputer. "REvil ransomware's new Linux encryptor targets ESXi virtual machines." June 2021.
- Bitdefender. "REvil/Sodinokibi Technical Analysis." Bitdefender Labs, 2021.
- MITRE ATT&CK. "REvil." https://attack.mitre.org/software/
- Wall Street Journal. "Travelex Paid $2.3 Million to Ransomware Hackers." April 2020.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Ransomware-as-a-Service (RaaS): Cómo Funciona el Modelo de Negocio del Cibercrimen
LockBit: Deep Dive Técnico del Programa RaaS Más Prolífico de la Historia
Doble Extorsión: Cómo el Ransomware Moderno Roba tus Datos Antes de Cifrarlos
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
LockBit 3.0: Incident Response Completo de Principio a Fin
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.