Cuatro detenidos en redada internacional antimalware

Las autoridades arrestaron a cuatro personas y derribaron o interrumpieron más de 100 servidores en la operación «más grande jamás realizada» contra botnets que implementan ransomware, dijo Europol el jueves.

La operación, denominada Operación Fin del Juego, fue iniciada y dirigida por Francia, Alemania y los Países Bajos, y un funcionario francés dijo que querían actuar antes de los Juegos Olímpicos de París de este verano.

Los ataques costaron a las víctimas, principalmente empresas e instituciones nacionales, cientos de millones de euros, según la policía holandesa, añadiendo que los sistemas de millones de personas resultaron infectados.

La operación del 27 al 29 de mayo condujo a un arresto en Armenia y tres en Ucrania, con búsquedas en ambos países, así como en los Países Bajos y Portugal, dijo Europol.

Los servidores estaban ubicados en Bulgaria, Canadá, Alemania, Lituania, Países Bajos, Rumania, Suiza, Gran Bretaña, Estados Unidos y Ucrania.

Además de los cuatro arrestos, ocho sospechosos fugitivos vinculados al caso se agregarán a la lista de los más buscados de Europa.

Uno de los sospechosos ganó al menos 69 millones de euros (75 millones de dólares) en criptomonedas alquilando sitios de infraestructura criminal para difundir ransomware, dijo Europol.

«Esta es la mayor operación jamás realizada contra botnets, que desempeñan un papel importante en el despliegue de ransomware», afirmó la agencia con sede en La Haya.

Una botnet es una red de computadoras infectadas por malware y controladas por piratas informáticos.

Las autoridades se dirigieron a los «goteros» de malware, un tipo de software utilizado para insertar software malicioso en un sistema, llamados IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot.

Trickbot se utilizó para lanzar ataques de ransomware en hospitales estadounidenses durante la pandemia de COVID.

Picadura preolímpica

La operación tuvo «un impacto global en el ecosistema de los cuentagotas», afirmó Europol.

Los droppers permiten a los delincuentes eludir las medidas de seguridad y desplegar virus, ransomware o spyware, dijo la agencia.

El software malicioso generalmente se instala a través de correos electrónicos con enlaces infectados o archivos adjuntos de Word y PDF, según Eurojust, la Agencia de la Unión Europea para la Cooperación en Justicia Penal.

La agencia dijo que la operación estaba en curso y que se esperaban más arrestos.

«Queríamos realizar esta operación antes de los Juegos Olímpicos», dijo a la AFP Nicolas Guidoux, jefe de la unidad de cibercrimen de la policía francesa.

Dijo que era «importante debilitar la infraestructura de ataque» y «limitar sus recursos» antes del evento global, ya que las autoridades temen que pueda ser blanco de numerosos ciberataques.

En Endgame también participaron autoridades de Dinamarca, Gran Bretaña y Estados Unidos, con apoyo adicional de Armenia, Bulgaria, Lituania, Portugal, Rumania, Suiza y Ucrania.

SystemBC y Pikabot

La investigación se inició en 2022.

El fiscal alemán de delitos cibernéticos, Benjamin Krause, dijo que los ataques estaban dirigidos a instituciones de salud, educación y administración pública.

Los piratas informáticos cifrarían archivos o sistemas completos para bloquear el acceso a ellos y luego exigirían dinero para desbloquearlos, dijo Krause en una conferencia de prensa, añadiendo que tales ataques amenazaban «la existencia de las empresas».

Los investigadores franceses identificaron al administrador del cuentagotas SystemBC, que según Europol «facilitaba la comunicación anónima entre un sistema infectado» y «servidores de comando y control».

Las autoridades francesas también identificaron al administrador de Pikabot, un caballo de Troya que permite la implementación de ransomware, el control remoto de computadoras y el robo de datos.

La policía francesa participó en el arresto del sospechoso y en el registro de su domicilio en Ucrania, con autorización de las autoridades locales, dijo la fiscal de París, Laure Beccuau.

Guidoux dijo que el número de víctimas sólo se conocerá después de que se analicen los servidores desmantelados.

Los expertos en ciberseguridad dijeron que la Operación Endgame ayudó a desestabilizar un ecosistema criminal que es difícil de descifrar.

«La red dropper es una pieza de infraestructura que hace la vida más fácil a muchos grupos de ciberdelincuentes», dijo Jerome Saiz, fundador de la firma de ciberseguridad OPFOR Intelligence.

© 2024 AFP