Una coalición internacional de policías organizada por las agencias policiales y de justicia de la Unión Europea ha revelado una operación en curso contra los droppers de malware que Europol llama la “operación más grande jamás realizada” de este tipo.
La iniciativa en curso, denominada “Operación Fin del Juego”, tiene como objetivo malware entrega «cuentagotas» y «cargadores» y es un intento de interrumpir las implementaciones de malware a gran escala.
Entre el 27 y el 29 de mayo, la policía arrestó a cuatro personas, confiscó más de 100 servidores y tomó el control de más de 2.000 dominios. Se realizaron arrestos en Ucrania y Armenia, y se desconectaron o interrumpieron servidores en Bulgaria, Canadá, Alemania, Lituania, Países Bajos, Rumania, Suiza, Reino Unido, Estados Unidos y Ucrania.
La operación fue dirigida por fuerzas del orden de Francia, Alemania y los Países Bajos, con el apoyo de Dinamarca, el Reino Unido, Estados Unidos y la agencia de cooperación judicial de la Unión Europea, Eurojust.
Los atacantes lanzan malware a través de correos electrónicos, sitios web o descargas fraudulentos
Los droppers y cargadores instalan silenciosamente malware, a menudo después de que una víctima hace clic en un archivo adjunto de correo electrónico fraudulento, visita un sitio web pirateado o descarga software. Malware como servicio Las industrias pueden crecer en torno al suministro de herramientas para implementar droppers, por lo que las fuerzas del orden se dirigieron a personas e infraestructuras que identificaron como capaces de “eliminar simultáneamente estas botnets e interrumpir la infraestructura utilizada por ciberdelincuentes.”
Los descargadores y cargadores de malware a los que se dirige Operation Endgame incluyen Bumblebee, IcedID, Smokeloader y Trickbot.
VER: ¿Una VPN oculta su dirección IP?
«Muchas de las víctimas no eran conscientes de la infección de sus sistemas», escribió Europol en el Sitio web de Operación Endgame. «Las pérdidas financieras estimadas que estos delincuentes han causado a empresas e instituciones gubernamentales ascienden a cientos de millones de euros». Un euro hoy vale 1,08 dólares.
Un sospechoso ganó 69 millones de euros en criptomonedas alquilando sitios para implementar Secuestro de datosdijo Europol.
La Operación Endgame está en curso, con ocho personas consideradas fugitivas por la operación y agregadas a la lista de los más buscados de Europa el 30 de mayo.
«La lucha contra el cibercrimen sin fronteras no termina aquí, y el FBI está comprometido a abordar esta amenaza en constante evolución», dijo el director del FBI, Christopher Wray, en un comunicado. presione soltar.
Cómo las organizaciones pueden defenderse contra el malware
Gran parte del malware distribuido por los atacantes relacionados con Operation Endgame provino de archivos adjuntos de correo electrónico, sitios web comprometidos o incluidos en descargas gratuitas de software legítimo. Las organizaciones deberían aprovechar esta acción policial como una oportunidad para recordar a los empleados que tengan en cuenta los anuncios de software gratuito y los archivos adjuntos de correo electrónico de cuentas sospechosas. Además, las organizaciones pueden recordar a los empleados mejores prácticas de ciberseguridad y cómo detectar signos de suplantación de identidad.
“Una característica clave presente en varias de las botnets interrumpidas es la capacidad de automatizar el “secuestro de subprocesos” o inyectar contenido en subprocesos de correo electrónico legítimos que han sido extraídos, manipulados y luego enviados de vuelta a cuentas que tal vez ya hayan participado en el subproceso de conversación o otras cuentas dentro de la empresa”, dijo Daniel Blackford, director de investigación de amenazas en Proofpoint, en un correo electrónico a TechRepublic.
La empresa de ciberseguridad Proofpoint contribuyó a la Operación Endgame.
«El mensaje clave: no se puede confiar inherentemente en los archivos adjuntos insertados aleatoriamente en hilos de conversación legítimos», dijo Blackford. En su lugar, «Cuando sea posible, confirme directamente con su colega que cualquier transferencia de archivos o intercambio de URL, especialmente con hosts de intercambio de archivos, es intencional y esperado».