La Operación Endgame desestabiliza a los grupos cibercriminales.

La cooperación internacional permitió que la Operación Endgame impactara el funcionamiento de algunas de las plataformas de cibercrimen más conocidas para la distribución de ransomware y otros códigos maliciosos.

La Europol ha denominado esta operación como la "más grande realizada contra botnets", ya que se dirigió a grupos de piratas informáticos especializados en droppers, es decir, aquellos que desarrollan programas para infectar dispositivos y luego instalar otros códigos maliciosos como ransomware o spyware.

Según las autoridades, los droppers pueden infiltrarse en los sistemas a través de diversos canales, como archivos adjuntos de correo electrónico, sitios web comprometidos e incluso software legítimo.

Una vez ejecutado, el dropper instala el código malicioso adicional en el equipo comprometido de manera inadvertida para la víctima, en parte debido a que está diseñado para eludir la detección por parte del software de seguridad.

Una vez que se ha implementado el código malicioso adicional, el dropper puede permanecer inactivo o eliminarse para evitar la detección. “Los droppers en sí mismos no suelen causar daños directos, pero son cruciales para acceder e implementar software dañino en los sistemas afectados”, explicó la Europol.

¿Cómo fue?

La Operación Endgame, llevada a cabo del 27 al 29 de mayo, fue liderada por Francia, Alemania y los Países Bajos, con el respaldo de Dinamarca, Reino Unido y Estados Unidos.

Además, autoridades de países como Armenia, Bulgaria, Lituania, Portugal, Rumania, Suiza y Ucrania participaron en la operación con diversas acciones, que incluyeron detenciones, entrevistas a sospechosos, registros e incautaciones, así como la caída de servidores y dominios.

Europol desempeñó un papel crucial al facilitar el intercambio de información y brindar apoyo analítico, de criptorastreo y forense a la investigación.

Las autoridades se enfocaron en los grupos responsables de droppers como IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot.

Por ejemplo, SystemBC facilitaba la comunicación anónima entre sistemas infectados y servidores de comando y control; Bumblebee permitía la entrega y ejecución de más cargas útiles en sistemas comprometidos, mientras que IcedID, también conocido como BokBot, inicialmente fue clasificado como un troyano bancario pero evolucionó para servir a otros delitos cibernéticos.

Estos esfuerzos resultaron en cuatro arrestos, uno en Armenia y tres en Ucrania, así como 16 operativos de búsqueda, más de 100 servidores caídos o interrumpidos en varios países y más de 2 mil dominios bajo el control de las autoridades.

También se descubrió que uno de los principales sospechosos ha ganado al menos 69 millones de euros en criptomonedas alquilando sitios de infraestructura criminal para implementar ransomware.

Por ello, las transacciones del sospechoso están siendo monitoreadas constantemente y se ha obtenido el permiso legal para confiscar estos activos en acciones futuras.

Otros datos de la Operación Endgame

• Europol organizó más de 50 llamadas de coordinación con todos los países.
• Más de 20 agentes de Dinamarca, Francia, Alemania y Estados Unidos apoyaron la coordinación de las acciones operativas desde el puesto de mando de Europol.
• Hubo cientos de otros agentes de los diferentes países implicados en las acciones.
• Un puesto de mando virtual permitió la coordinación en tiempo real entre los oficiales armenios, franceses, portugueses y ucranianos desplegados sobre el terreno durante las actividades sobre el terreno.