Algunas de las botnets que lanzan malware más destacadas en funcionamiento hoy en día, incluidas Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC y Trickbot, han sido interrumpidas en una acción policial coordinada orquestada a través de la agencia Europol de la Unión Europea (UE).
La Operación Endgame, que contó con el apoyo de la Agencia Nacional contra el Crimen (NCA) del Reino Unido y del FBI de Estados Unidos, así como de agencias de Armenia, Bulgaria, Dinamarca, Francia, Alemania, Lituania, Países Bajos, Portugal, Rumania, Suiza y Ucrania. desarrollado entre el 27 y 29 de mayo de 2024.
El apoyo de la industria provino de varios especialistas cibernéticos, incluidos Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus y DIVD.
Se centró en interrumpir las operaciones de ciberdelincuencia mediante el desmantelamiento de infraestructuras clave, la congelación de activos y el arresto de objetivos de alto valor. En la operación, la policía realizó cuatro arrestos: uno en Armenia y tres en Ucrania; buscar 16 propiedades; derribar más de 100 servidores; y apoderarse de 2.000 dominios.
La investigación también descubrió que uno de los principales sospechosos involucrados ganó al menos 69 millones de euros en criptomonedas alquilando sitios de infraestructura criminal a bandas de ransomware. Este individuo está siendo monitoreado y las autoridades tienen permiso legal para incautar sus bienes en una futura operación.
En un mensaje publicado en un micrositio dedicado a Operación Endgame, Europol dijo: “Bienvenidos a The Endgame. Las fuerzas del orden y los socios internacionales han unido fuerzas. Llevamos mucho tiempo investigándole a usted y a sus actividades criminales y no nos detendremos aquí.
“Esta es la temporada 1 de Operación Endgame. Manténganse al tanto. Seguro que será emocionante. Quizás no sea para todos. Algunos resultados se pueden encontrar aquí, otros le llegarán de maneras diferentes e inesperadas.
“No dude en ponerse en contacto, es posible que nos necesite”, continuó. “Sin duda, ambos podríamos beneficiarnos de un diálogo sincero. No serías el primero ni serás el último. Piensa en tu próximo paso”.
Europol afirmó que la Operación Endgame es la operación más grande jamás realizada contra estas botnets, que se utilizan principalmente como goteros para distribuir ransomware y otras cargas maliciosas.
“La Operación Fin del Juego no termina hoy”, afirmó Europol. “Las nuevas acciones se anunciarán en el sitio web Operación Endgame. Además, los sospechosos involucrados en estas y otras botnets, que aún no han sido arrestados, serán llamados directamente a rendir cuentas por sus acciones. Los sospechosos y testigos encontrarán información sobre cómo comunicarse a través de este sitio web”.
Cómo funcionan los goteros
Los droppers de malware son paquetes de software malicioso que, en general, no causan daños a las computadoras objetivo, sino que están diseñados para usarse como punto de partida para otros malwares (a menudo, casilleros de ransomware). Debido a su utilidad para las bandas de ransomware, atacarlas para interrumpirlas puede tener importantes impactos posteriores.
Aparecen en las etapas iniciales de los ciberataques y ayudan a los ciberdelincuentes a burlar las defensas, evadiendo la detección para ejecutar sus ataques.
Los objetivos de Operation Endgame tienen algunas diferencias entre ellos en términos de cómo funcionan y qué hacen exactamente; por ejemplo, muchos de ellos llegan como archivos adjuntos a correos electrónicos de phishing maliciosos, otros se descargan inadvertidamente de sitios web comprometidos e incluso pueden ser ” incluidos” con software legítimo, pero, en última instancia, todos tienen el mismo propósito.
Matt Hull, jefe global de inteligencia de amenazas de NCC Group, explicó que debido a que estas botnets son esencialmente redes de dispositivos conectados a Internet que operan a instancias de un controlador ciberdelincuente, es bastante fácil (en algunos casos, probable) cooptar dispositivos. en tales esquemas sin el conocimiento de sus legítimos dueños.
En el Reino Unido, una legislación reciente en forma de Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos, que entró en vigor a finales de abril de 2024, añade barreras de seguridad adicionales que pueden impedir que dispositivos pertenecientes a miembros comunes del público sean manipulados con fines delictivos. actividad, pero sigue siendo importante estar consciente de la amenaza de botnet y tomar medidas para proteger sus dispositivos para evitar riesgos personales y el impacto en su funcionamiento normal.
“También es importante pensar antes de hacer clic en enlaces o abrir archivos adjuntos de correo electrónico, ya que el malware botnet a menudo se propaga a través de spam o correos electrónicos de phishing. Es una buena práctica comprobar siempre que estás abriendo algo legítimo”.
¿Que viene despues?
La comunidad de seguridad ha reaccionado positivamente a la noticia de la operación encubierta, pero su apoyo se ve atenuado por el conocimiento de que aún queda mucho trabajo por hacer y que las operaciones exitosas no siempre producen resultados a largo plazo.
“Es posible que las autoridades tengan el control de la infraestructura ahora, pero es probable que innumerables dispositivos sigan infectados con malware de botnet inactivo”, dijo el jefe de análisis de amenazas de Darktrace, Toby Lewis.
“Apoderarse de los servidores es solo el primer paso: deben actuar rápidamente para notificar a las víctimas y brindar orientación clara sobre cómo eliminar el malware y proteger los sistemas… En el peor de los casos, los atacantes podrían recuperar el control de un dominio confiscado y reactivar rápidamente los dispositivos comprometidos que han estado mintiendo. en espera.
“Las fuerzas del orden deben permanecer vigilantes, monitoreando de cerca cualquier señal de que los delincuentes intenten establecer nuevos servidores de comando y control o que resurgiera la actividad de las botnets”, dijo. “Si los atacantes intentan recuperar su posición, las autoridades deben estar preparadas para alertar rápidamente a las víctimas”.
Lewis dijo que ahora se necesitaría un esfuerzo sostenido para limpiar y prevenir la reinfección, y esto requería una mayor coordinación entre los socios del sector público y privado, y una comunicación transparente en todo momento.
“Si bien esta operación representa un avance significativo, es sólo una operación exitosa en la lucha en curso contra el cibercrimen”, afirmó. “Los ciberdelincuentes son persistentes y adaptables. Debemos seguir siendo igualmente diligentes y proactivos”.
operación estadounidense
Independientemente de la Operación Endgame, una acción liderada por el Departamento de Justicia de EE. UU. (DoJ) ha desbaratado otra gran botnet implicada en ataques de ransomware, fraude, intimidación y acoso en línea, violaciones de exportaciones, explotación infantil e incluso amenazas de bomba.
Esta operación supuso el arresto de un ciudadano conjunto chino y de San Cristóbal y Nieves, nombrado por el Departamento de Justicia como YunHe Wang, de 35 años, por cargos penales derivados del despliegue de malware y el funcionamiento del servicio de proxy residencial 911 S5.
En acusaciones reveladas en Estados Unidos la semana pasada, Wang fue acusado de crear y difundir malware para crear una red de millones de computadoras residenciales con Windows asociadas con 19 millones de direcciones IP únicas, y de ganar millones de dólares ofreciendo a los ciberdelincuentes acceso a ellas.
El malware supuestamente se propagó a través de dos redes privadas virtuales (VPN), MaskVPN y DewVPN, y servicios de pago por instalación que agrupaban el malware de Wang con otros archivos, generalmente copias piratas de software con licencia o materiales protegidos por derechos de autor. Todo esto se gestionaba a través de unos 150 servidores dedicados, 76 de ellos alquilados a proveedores de servicios con sede en Estados Unidos.
El Departamento de Justicia afirmó que los ciberdelincuentes que utilizaron el 911 S5 en sus cadenas de ataque pueden haber robado miles de millones de dólares, incluso a través de más de 550.000 solicitudes fraudulentas de seguro de desempleo contra el programa de ayuda de EE.UU. Covid-19, que resultaron en pérdidas de 5.900 millones de dólares a los contribuyentes estadounidenses. Millones más fueron robados de instituciones financieras.
Además, los ciberdelincuentes que utilizaban el 911 S5 podían comprar productos con tarjetas de crédito robadas o con ingresos obtenidos de forma delictiva y exportarlos fuera de los EE. UU. en contravención de los controles de exportación locales, y eran delincuentes ubicados en Ghana que utilizaban tarjetas de crédito robadas para realizar pedidos fraudulentos en el La plataforma de comercio electrónico ShopMyExchange del Servicio de Intercambio del Ejército y la Fuerza Aérea de EE. UU. que inicialmente llamó la atención de las autoridades.
Se alega que el propio Wang ganó 99 millones de dólares con el 911 S5, que utilizó para comprar propiedades en Estados Unidos, San Cristóbal y Nieves, China, Singapur, China y los Emiratos Árabes Unidos. La acusación también identificó una serie de activos de alto valor, incluido un Ferrari F8 Spider SA 2022, un Rolls-Royce y relojes de pulsera de lujo.
“La conducta alegada aquí parece sacada de un guión: un plan para vender acceso a millones de computadoras infectadas con malware en todo el mundo, permitiendo a delincuentes de todo el mundo robar miles de millones de dólares, transmitir amenazas de bomba e intercambiar materiales de explotación infantil, y luego usar el “El plan genera casi 100 millones de dólares en beneficios para comprar coches de lujo, relojes y bienes raíces”, dijo Matthew Axelrod, subsecretario para el control de las exportaciones en la Oficina de Industria y Seguridad del Departamento de Comercio de Estados Unidos.