El pasado martes por la mañana, una de las bandas de ransomware más prolíficas del mundo desapareció repentinamente de internet. Ese inexplicable hecho se produjo solo un día antes de la reunión entre los altos funcionarios de la Casa Blanca y Rusia sobe la crisis global de ransomware.

El grupo de ransomware conocido como REvil forma parte desde hace años del creciente ciberdelito clandestino. Un enorme 42 % de todos los ciberataques de ransomware recientes se remontan a este grupo, pero son especialmente conocidos por dos hackeos concretos. A principios de este mes, afectó a al menos 1.000 empresas al atacar a la empresa de software Kaseya. Fue una de las campañas de ransomware más amplias jamás realizadas. Y el mes pasado, REvil golpeó al proveedor de carne JBS y exigió el pago de 11 millones de dólares (9,32 millones de euros). Incluso cuando los líderes mundiales centraron su atención en el ransomware y amenazaron con tomar medidas, REvil se mostró desafiante, hasta ahora.

El analista senior de amenazas de la empresa de seguridad Recorded Future, Allan Liska, afirma: "Es complicado averiguar qué está pasando. Pero somos cautelosamente optimistas de que una de las mayores bandas que hay se ha acabado".

Hay algunas explicaciones de lo que pudo causar la desaparición. Primero, puede que la propia banda haya optado por retirarse si ya ha ganado suficiente dinero o ha sentido demasiada presión. Estados Unidos o sus aliados pueden haberlos puesto offline con éxito. O el Gobierno ruso, bajo escrutinio internacional, podría haberlos obligado a desaparecer. Su desaparición también podría ser temporal: muchos ciberdelincuentes fingen "retirarse" antes de reaparecer más tarde bajo nuevas identidades.

"Recomendamos no sacar conclusiones inmediatas ya que es todavía pronto, pero REvil es, de hecho, una de las bandas de ransomware más despiadadas y creativas que hemos visto", advierte el portavoz de Check Point Software, Ekram Ahmed. La respuesta no está clara y el problema global del ransomware sigue agravándose.

En un tuit, la directora de Inteligencia de la empresa estadounidense Red Canary, Katie Nickels, exclamó: "No sé qué significa esto, pero, de todos modos, ¡estoy feliz! Si lo ha logrado el Gobierno, estupendo, están tomando medidas. Si los actores se han ido voluntariamente, excelente, puede que estén asustados. Pero es importante recordar que esto no resuelve el ransomware".

Todos los sitios web utilizados por el grupo REvil, incluso donde publica los datos robados, ya no están disponibles. Pero, aún es más significativo que toda la infraestructura y los ordenadores que usa la banda para llevar a cabo los ataques se desconectaron alrededor de las 8 a.m., hora de Moscú (Rusia), del martes, explica Liska. El portavoz del grupo también llevaba inactivo desde hacía casi una semana.

"Los sitios de ransomware están alojados en lugares muy seguros y son inestables, todos se activan y desactivan. Pero nunca lo hacen todos al mismo tiempo", explica Liska.

REvil es un grupo de habla rusa, su malware evita los ordenadores rusos y está vinculado a otros grupos que se cree que están dentro de Rusia. Después del ataque masivo de este mes, la secretaria de Prensa de la Casa Blanca, Jen Psaki, declaró: "Si el Gobierno ruso no puede o no quiere tomar medidas contra los actores criminales en Rusia, tomaremos medidas o nos reservamos el derecho para hacerlo".

Liska concluye: "El momento es fascinante. Es justo después del ataque a Kaseya y justo antes de la cumbre. Acaban de realizar el [ataque] de ransomware posiblemente más grande de la historia. Pasar de tan alto a desaparecer no creo que sea una coincidencia".