Europol, en colaboración con Proofpoint y otras fuerzas del orden globales, ha anunciado la exitosa Operación Endgame, una iniciativa que ha logrado desmantelar una de las infraestructuras de malware y redes de bots más grandes del mundo.
Esta operación, considerada por Europol como «la mayor jamás realizada contra las botnets», ha sido crucial para frenar la propagación de ransomware y otras ciberamenazas. En colaboración con el sector privado, entre ellos Proofpoint, líder en ciberseguridad, se ha conseguido interrumpir la infraestructura de varios malware, incluyendo IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee y Trickbot. La acción coordinada resultó en cuatro detenciones, el desmantelamiento de más de 100 servidores en diez países, el control de más de 2.000 dominios y la congelación de activos ilegales.
Randy Pargman, director de detección de amenazas en Proofpoint, explicó: «Nuestra misión es proporcionar la mejor protección frente a amenazas avanzadas. Utilizamos nuestras habilidades para ayudar a proteger a un público más amplio contra ataques de malware generalizados. En la Operación Endgame, compartimos nuestro conocimiento técnico sobre la infraestructura de botnets, identificando patrones en la configuración de servidores y la creación de malware. Nuestra perspectiva única ha sido crucial para ayudar a las fuerzas de seguridad a priorizar las amenazas más significativas para la sociedad».
Detalles del Malware Desmantelado
SmokeLoader: Un descargador con capacidades de robo y acceso remoto, ampliamente disponible en foros de habla rusa. Proofpoint ha observado numerosas campañas de SmokeLoader en 2024, principalmente dirigidas a organizaciones ucranianas, que llevaron a la instalación de otros malware y ransomware.
SystemBC: Un malware proxy y backdoor, popular en operaciones de ransomware como servicio. Aunque raro en amenazas de correo electrónico, se despliega después del compromiso inicial del sistema.
IcedID: Originalmente un troyano bancario que también actuaba como cargador de otros malware. Desde 2017, Proofpoint ha detectado casi 1.000 campañas de IcedID, aunque su presencia ha disminuido desde noviembre de 2023, posiblemente reemplazado por un nuevo malware llamado Latrodectus.
Pikabot: Malware con componentes de cargador y módulo central, utilizado para ejecutar comandos y descargar payloads adicionales. Utilizado principalmente por el grupo TA577, no se ha observado en campañas de correo electrónico desde marzo de 2024.
Bumblebee: Un descargador sofisticado que distribuye varios payloads y ransomware. Desde su identificación, Proofpoint ha observado más de 200 campañas de Bumblebee, con una disminución notable en 2024, lo que representa un golpe significativo para los delincuentes que lo utilizaban.
Impacto y Futuro de la Ciberseguridad
La Operación Endgame es un ejemplo de la eficacia de la colaboración entre entidades públicas y privadas para combatir la cibercriminalidad. Las medidas adoptadas no solo han desmantelado infraestructuras críticas de malware, sino que también han puesto en jaque a los ciberdelincuentes responsables.
El éxito de esta operación resalta la importancia de la cooperación global y el intercambio de información técnica en la lucha contra el cibercrimen. La interrupción de estas redes es un paso significativo hacia la protección de usuarios y organizaciones en todo el mundo, y establece un precedente para futuras iniciativas de ciberseguridad.
