Las autoridades alemanas han identificado a los presuntos responsables de dos de las operaciones de ransomware más importantes de la última década: GandCrab y REvil.
La Oficina Federal de Policía Criminal de Alemania (BKA) señala a dos ciudadanos rusos como líderes de estas campañas activas entre 2019 y 2021, vinculadas a ataques contra empresas y organizaciones a nivel global.
Millones en daños y campañas de extorsión
Según la investigación, ambos actores estuvieron implicados en al menos 130 casos de extorsión dirigidos específicamente contra empresas en Alemania.
De estos ataques:
- Al menos 25 víctimas pagaron rescates
- Se recaudaron más de 2,2 millones de dólares
- El impacto económico total supera los 40 millones
Estas cifras reflejan solo una parte del alcance real de estas operaciones, que operaban a escala internacional.
De GandCrab a REvil: evolución del ransomware moderno
GandCrab fue una de las primeras grandes operaciones en popularizar el modelo ransomware-as-a-service, permitiendo a afiliados lanzar ataques a cambio de una comisión.
Luego de su supuesta retirada en 2019, muchos de sus miembros y afiliados migraron a REvil (también conocido como Sodinokibi), heredando su infraestructura y modelo de negocio.
REvil llevó el ransomware a un nuevo nivel, introduciendo:
- Sitios públicos de filtración de datos
- Subastas de información robada
- Presión mediática sobre víctimas
Ataques de alto perfil y operaciones globales
Entre los ataques más notorios atribuidos a REvil se encuentran:
- Ataques a gobiernos locales en Estados Unidos
- Intrusión en la empresa tecnológica Acer
- El ataque a la cadena de suministro de Kaseya, que afectó a miles de organizaciones
Este último incidente marcó un punto de inflexión en la respuesta internacional contra el ransomware.
Investigación y situación actual
Luego del ataque a Kaseya, las fuerzas de seguridad lograron infiltrarse en la infraestructura de REvil, provocando interrupciones en sus operaciones.
En 2022, Rusia anunció la detención de varios miembros del grupo, aunque posteriormente fueron liberados tras cumplir condenas relacionadas con otros delitos.
Las autoridades alemanas creen que los líderes identificados se encuentran actualmente en Rusia y han solicitado colaboración ciudadana para localizarlos.
Un paso más en la lucha contra el ransomware
La identificación de los responsables marca un avance importante en la lucha contra el cibercrimen organizado, aunque la persecución efectiva sigue siendo compleja debido a factores geopolíticos.
El caso pone de relieve la evolución del ransomware como industria criminal y la necesidad de cooperación internacional para combatir estas amenazas.