La Operación Endgame, realizada gracias a la cooperación de autoridades internacionales, logró afectar el manejo de algunas de las plataformas de cibercrimen más populares para distribuir ransomware y otros códigos maliciosos.
La Europol apodó esta operación como la “más grande realizada contra botnets” porque se centró en grupos de piratas informáticos considerados droppers, es decir, que desarrollan programas que sirven para infectar un dispositivo y, posteriormente, instalar otros códigos maliciosos como ransomware o spyware.
De acuerdo con las autoridades, los droppers pueden ingresar a los sistemas a través de varios canales como archivos adjuntos de correo electrónico, sitios web comprometidos e, incluso, a través de software legítimo.
Una vez ejecutado, el dropper instala el código malicioso adicional en el equipo comprometido sin que la víctima se dé cuenta, en parte porque es un programa diseñado para evitar la detección por parte del software de seguridad.
Después de implementar el código malicioso adicional, el dropper puede permanecer inactivo o eliminarse para evadir la detección. “Los droppers en sí mismos no suelen causar daños directos, pero son cruciales para acceder e implementar software dañino en los sistemas afectados”, explicó la Europol.
¿CÓMO FUE?
Operación Endgame, que se realizó del 27 al 29 de mayo pasados, fue iniciada y dirigida por Francia, Alemania y los Países Bajos, contando con el apoyo de Dinamarca, Reino Unido y Estados Unidos.
Mientras que las autoridades de países como Armenia, Bulgaria, Lituania, Portugal, Rumanía, Suiza y Ucrania también participaron con diferentes acciones como detenciones, entrevistas a sospechosos, registros e incautaciones o caídas de servidores y dominios.
A lo que se añade que Europol facilitó el intercambio de información y proporcionó apoyo analítico, de criptorastreo y forense a la investigación.
Las autoridades centraron la operación en los grupos detrás de droppers como IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot.
Por ejemplo, SystemBC se encargaba de facilitar la comunicación anónima entre un sistema infectado y servidores de comando y control; Bumblebee fue diseñado para permitir la entrega y ejecución de más cargas útiles en sistemas comprometidos, mientras que IcedID que también es conocido como BokBot fue clasificado inicialmente como un troyano bancario, pero evolucionó para servir a otros delitos cibernéticos.
Estos esfuerzos dieron como resultado cuatro arrestos de los cuales uno fue en Armenia y tres en Ucrania, así como 16 búsquedas de ubicación, más de 100 servidores caídos o interrumpidos en varios países y más de 2 mil dominios bajo el control de las autoridades.
Las autoridades también descubrieron que uno de los principales sospechosos ha ganado al menos 69 millones de euros en criptomonedas alquilando sitios de infraestructura criminal para implementar ransomware.
Por lo anterior, las transacciones del sospechoso están siendo monitoreadas constantemente y ya se ha obtenido el permiso legal para confiscar estos activos en acciones futuras.
OTROS DATOS DE OPERACIÓN ENDGAME
Europol organizó más de 50 llamadas de coordinación con todos los países.
Más de 20 agentes de Dinamarca, Francia, Alemania y Estados Unidos apoyaron la coordinación de las acciones operativas desde el puesto de mando de Europol.
Hubo cientos de otros agentes de los diferentes países implicados en las acciones.
Un puesto de mando virtual permitió la coordinación en tiempo real entre los oficiales armenios, franceses, portugueses y ucranianos desplegados sobre el terreno durante las actividades sobre el terreno.