La Operación Endgame resultó en cuatro arrestos, el desmantelamiento de más de 100 servidores en diez países, la toma de control de más de 2.000 dominios y el congelamiento de activos ilegales
Fuerzas del orden a nivel mundial han anunciado la Operación Endgame, una iniciativa significativa para desmantelar una de las mayores infraestructuras de malware y redes de bots, así como para identificar a los individuos implicados en estas actividades ilícitas. Europol ha descrito esta acción como “la mayor operación jamás realizada contra las botnets, que desempeñan un papel fundamental en el despliegue del ransomware”.
En colaboración con socios del sector privado, incluyendo a la empresa de ciberseguridad Proofpoint, se logró desarticular las infraestructuras de IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee y Trickbot. Según Europol, esta operación coordinada resultó en cuatro arrestos, el desmantelamiento de más de 100 servidores en diez países, la toma de control de más de 2.000 dominios y el congelamiento de activos ilegales.
“En el caso de la Operación Endgame, compartimos nuestro conocimiento técnico sobre la infraestructura de botnets, buscando patrones en la forma en que los ciberdelincuentes configuraban servidores, así como la infraestructura de malware a medida que se creaba. Nuestra perspectiva única proporciona una información muy necesaria para ayudar a los organismos encargados de la aplicación de la ley a dar prioridad a aquellas amenazas de mayor calado para la sociedad”, ha afirmado Randy Pargman, director de detección de amenazas en Proofpoint.
Intervención de Proofpoint
Proofpoint ha aportado su experiencia en ingeniería inversa de malware, proporcionando a las fuerzas de seguridad valiosa información sobre el diseño de estos programas maliciosos e identificando las campañas de distribución más peligrosas. De esta manera, se contribuyó a la interrupción segura de dichas amenazas. En un reciente informe, han detallado algunos de los malware involucrados:
- SmokeLoader: Este downloader posee capacidades de robo y acceso remoto, permitiendo la instalación de payloads de seguimiento. A pesar de que su autor afirma venderlo solo a usuarios de habla rusa, ha sido ampliamente disponible en varios foros. En 2024, Proofpoint ha observado unas doce campañas de SmokeLoader, enfocadas en organizaciones ucranianas mediante señuelos de phishing relacionados con cuentas o pagos.
- SystemBC: Un malware proxy y backdoor inicialmente entregado por kits de exploits y posteriormente popular en operaciones de ransomware como servicio. Proofpoint rara vez ha observado SystemBC en amenazas de correo electrónico, ya que suele desplegarse tras el compromiso inicial.
- IcedID: Clasificado como troyano bancario, también ha actuado como cargador de otros malware, incluyendo etapas iniciales hacia ransomware. Proofpoint ha registrado cerca de 1.000 campañas de IcedID desde 2017. Sin embargo, desde noviembre de 2023 no se ha observado IcedID, reemplazado por el nuevo malware Latrodectus.
- Pikabot: Compuesto por un cargador y un módulo central, diseñado para ejecutar comandos arbitrarios y cargar payloads adicionales. Principalmente utilizado por el grupo TA577, Proofpoint no ha visto campañas de Pikabot en correo electrónico desde marzo de 2024, lo que obligará a los delincuentes a ajustar sus tácticas.
- Bumblebee: Un downloader sofisticado que instala y ejecuta payloads como Cobalt Strike, shellcode, Sliver y Meterpreter, además de distribuir ransomware. Desde su identificación, Proofpoint ha registrado más de 200 campañas de Bumblebee, con menos de diez en 2024, lo que supone un golpe significativo para sus operadores.