Cierre de más de 100 servidores asociados con Europol, IcedID, TrickBot y otros programas maliciosos


Europol dijo el jueves que había cerrado la infraestructura asociada con múltiples operaciones de carga de malware, incluidas IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot, como parte de una operación coordinada de aplicación de la ley con nombre en código “Operación Endgame Anunciada”.

“Esta acción se centra en perturbar las actividades de las organizaciones criminales mediante el arresto de objetivos de alto valor, la destrucción de infraestructura criminal y el congelamiento de ganancias ilícitas”, dijo Europol en un comunicado. “Malware […] Ataques facilitados por ransomware y otro software malicioso. “

La acción, que tuvo lugar del 27 al 29 de mayo, resultó en el desmantelamiento de más de 100 servidores en todo el mundo y búsquedas en 16 ubicaciones en Armenia, Países Bajos, Portugal y Ucrania, incluida una persona en Armenia y una persona en Ucrania. Un total de cuatro personas, tres de ellas, fueron detenidas.

Según Europol, los servidores estaban ubicados en Bulgaria, Canadá, Alemania, Lituania, Países Bajos, Rumania, Suiza, Ucrania, Reino Unido y Estados Unidos. Las fuerzas del orden confiscaron más de 2.000 dominios.

Uno de los principales sospechosos supuestamente ganó al menos 69 millones de euros (74,6 millones de dólares) alquilando sitios de infraestructura criminal para implementar ransomware.

“Mediante el uso de las llamadas técnicas de ‘sinkhole’, herramientas para acceder a los sistemas de los operadores detrás del malware, los investigadores pudieron bloquear y destruir la botnet”, dijo Eurojust Ta.

Por otra parte, las autoridades alemanas buscan el arresto de siete personas asociadas con una organización criminal destinada a distribuir el malware TrickBot. Se sospecha que la octava persona es uno de los cabecillas del grupo detrás de SmokeLoader.

Según la Oficina Federal de Investigaciones (FBI), se estima que el grupo de malware ha infectado millones de ordenadores en todo el mundo. Las computadoras infectadas incluían una red en un hospital no identificado, que “no sólo causó millones de dólares en daños, sino que también amenazó vidas ya que el sistema de cuidados intensivos en línea se vio comprometido”.

La empresa de seguridad empresarial Proofpoint le dijo a Hacker News que compartió información sobre el funcionamiento interno de la infraestructura de la botnet y los artefactos de malware con las autoridades y “identificó patrones en cómo los actores de amenazas configuran sus servidores”.

Los cargadores, también conocidos como droppers, son software malicioso diseñado para obtener acceso inicial a un sistema comprometido para entregar cargas útiles adicionales, incluidas variantes de ransomware. Por lo general, se propaga a través de campañas de phishing, sitios comprometidos o incluido con software popular.

“El gotero está diseñado para evadir la detección por parte del software de seguridad”, dijo Europol. “Los droppers pueden utilizar técnicas como ofuscar su código, ejecutarlo en la memoria sin guardarlo en el disco o hacerse pasar por procesos de software legítimos”.

“Después de implementar malware adicional, el dropper permanece inactivo o se elimina para evadir la detección, permitiendo que la carga realice la actividad maliciosa prevista”.

La agencia dijo que la redada fue la operación más grande jamás realizada contra la botnet, en la que participaron autoridades de Armenia, Bulgaria, Dinamarca, Francia, Alemania, Lituania, Países Bajos, Portugal, Rumania, Suiza, Ucrania, el Reino Unido y Estados Unidos. explicado.

“Las fuerzas del orden continúan una serie impresionante de operaciones de eliminación con operaciones impresionantes contra el ecosistema del cargador”, dijo Don Smith, vicepresidente de inteligencia de amenazas en SecureWorks Counter-Threat Unit (CTU) en un comunicado compartido con Hacker News.

“Estas operaciones son importantes individualmente, pero colectivamente, si bien los actores maliciosos pueden estar fuera del alcance de los tribunales, las botnets y la infraestructura no lo están, y pueden verse comprometidas y desconectadas. Eso demuestra que sí lo hay”.

“Nunca llegaremos al corazón de estos grupos del crimen organizado, pero si podemos minimizar su impacto reduciendo su capacidad de escalar y desplegarse, eso es algo bueno”.

(Este artículo se actualizó con comentarios adicionales de Proofpoint y Secureworks después de su publicación).

¿Te pareció interesante este artículo?sígueme Gorjeo  Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/05/europol-dismantles-100-servers-linked.html