Un grupo ciberdelincuentes que opera desde Rusia y que está acusado de un ataque masivo de ransomware estaba fuera de línea el martes, lo que generó especulaciones sobre si esto sería el resultado de una acción dirigida por el gobierno.

La página del grupo conocido como REvil en la “dark web” desapareció unas dos semanas después de un ataque que paralizó las redes de cientos de empresas en todo el mundo y estuvo acompañado de una demanda de rescate de US$70 millones.

“REvil aparentemente ha desaparecido de la dark web, ya que su página se ha desconectado”, tuiteó Allan Liska, un investigador de seguridad de la firma Recorded Future, quien señaló que el sitio no respondía desde cerca de las 05H00 GMT.

Otros analistas advirtieron que los sitios del grupo, incluyendo los de pago y de filtración de datos, cayeron en las últimas horas.

El ransomware es un software malicioso que impide el acceso a información privilegiada o amenaza con destruirla a cambio de dinero. Su nombre proviene de la palabra inglesa “ransom”, que significa “rescate”, pues los usuarios, empresas y demás víctimas se ven obligadas a pagar para recuperar su información.

A principios de julio, se conoció que el grupo atacó a la empresa de software Kaseya y accedió a las redes de cientos de empresas que reciben sus servicios en más de doce países. Los criminales encriptaron información privilegiada y exigieron hasta US$70 millones por cada rescate. Afectaron desde farmacias hasta estaciones de servicio, así como docenas de jardines de infancia de Nueva Zelanda.

Expertos creen que este es uno de los mayores ataques con ransomware en el mundo.

El FBI también acusó al grupo de estar detrás del golpe contra JBS, el procesador de carne más grande del mundo, que se vio obligado a suspender brevemente sus operaciones en junio y admitió que pagó un rescate de US$11 millones para evitar represalias.

La noticia llega después de que el presidente de Estados Unidos, Joe Biden, repitiera una advertencia a su homólogo ruso, Vladimir Putin, sobre albergar a ciberdelincuentes, al tiempo que sugirió que Washington podría tomar medidas frente a los crecientes ataques de ransomware.

Analistas han sugerido en el pasado que el Comando Cibernético del ejército de Estados Unidos tiene la capacidad de contraatacar a los piratas informáticos frente a amenazas a la seguridad nacional, pero no hubo información oficial sobre una acción de ese tipo.

“La situación aún está en desarrollo, pero la evidencia sugiere que REvil ha sufrido un desmantelamiento planificado y simultáneo de su infraestructura, ya sea por los propios operadores o mediante la industria o la acción policial”, dijo a la AFP John Hultquist, de Mandiant Threat Intelligence, en un comunicado enviado por correo electrónico.

“Si se trataba de una operación disruptiva de algún tipo, es posible que nunca salgan a la luz todos los detalles”, señaló.

Brett Callow, de la empresa de seguridad Emsisoft, también dijo que no tenía respuesta para esas preguntas.

“No está claro si la interrupción es el resultado de una acción tomada por las fuerzas del orden”, dijo. “Si la policía ha logrado interrumpir las operaciones de la banda, obviamente sería algo bueno, pero podría crear problemas a cualquier empresa cuyos datos estén cifrados actualmente. No tendrían la opción de pagar a REvil por la clave necesaria para descifrarlos”, añadió Callow.