Los organismos encargados de hacer cumplir la ley en Estados Unidos y Europa anunciaron hoy la Operación Endgame, una acción coordinada contra algunas de las plataformas de cibercrimen más populares para distribuir ransomware y malware de robo de datos. Apodada “la operación más grande jamás realizada contra botnets”, el esfuerzo internacional está siendo anunciado como la salva inicial de una campaña en curso dirigida a los “goteros” o “cargadores” de malware avanzado como IcedID, Smokeloader y Trickbot. Un fotograma de uno de los tres videos animados publicados hoy en relación con Operation Endgame. Operation Endgame se dirige al ecosistema de ciberdelincuencia que admite droppers/loaders, términos de jerga utilizados para describir pequeños programas personalizados diseñados para instalar subrepticiamente malware en un sistema de destino. Los droppers se suelen utilizar en las etapas iniciales de una infracción y permiten a los ciberdelincuentes eludir las medidas de seguridad e implementar programas dañinos adicionales, incluidos virus, ransomware o spyware. Los droppers como IcedID se implementan con mayor frecuencia a través de archivos adjuntos de correo electrónico, sitios web pirateados o se incluyen con software legítimo. Por ejemplo, los ciberdelincuentes han utilizado durante mucho tiempo anuncios pagos en Google para engañar a las personas para que instalen malware disfrazado de software gratuito popular, como Microsoft Teams, Adobe Reader y Discord. En esos casos, el dropper es el componente oculto incluido con el software legítimo que carga silenciosamente malware en el sistema del usuario. Los droppers siguen siendo un componente tan crítico y con uso intensivo de recursos humanos de casi todas las principales empresas de ciberdelincuencia que las más populares se han convertido en sus propios servicios completos de ciberdelincuencia. Al apuntar a las personas que desarrollan y mantienen los servicios de cuentagotas y su infraestructura de apoyo, las autoridades esperan interrumpir múltiples operaciones cibercriminales simultáneamente. Según un comunicado de la agencia policial europea Europol, entre el 27 y el 29 de mayo de 2024 las autoridades arrestaron a cuatro sospechosos (uno en Armenia y tres en Ucrania) e interrumpieron o desactivaron más de 100 servidores de Internet en Bulgaria, Canadá, Alemania, Lituania, Países Bajos, Rumanía, Suiza, Reino Unido, Estados Unidos y Ucrania. Las autoridades dicen que también confiscaron más de 2.000 nombres de dominio que respaldaban la infraestructura de dropper en línea. Además, Europol publicó información sobre ocho fugitivos sospechosos de estar involucrados en servicios de cuentagotas y que son buscados por Alemania; sus nombres y fotografías se agregaron a la lista de “más buscados” de Europol el 30 de mayo de 2024. Un cartel de “se busca” que incluye los nombres y fotografías de ocho sospechosos buscados por Alemania y ahora en la lista de “más buscados” de Europol. «A través de las investigaciones hasta ahora se ha descubierto que uno de los principales sospechosos ha ganado al menos 69 millones de euros en criptomonedas alquilando sitios de infraestructura criminal para implementar ransomware», escribió Europol. «Las transacciones del sospechoso están siendo monitoreadas constantemente y ya se ha obtenido el permiso legal para confiscar estos activos en acciones futuras». Ha habido numerosos esfuerzos coordinados de eliminación de malware en el pasado y, sin embargo, a menudo la cantidad sustancial de coordinación requerida entre los organismos encargados de hacer cumplir la ley y las empresas de ciberseguridad involucradas no se mantiene después de la interrupción y/o los arrestos iniciales. Pero un nuevo sitio web creado para detallar la acción de hoy (operation-endgame.com) argumenta que esta vez es diferente y que se avecinan más derribos y arrestos. «La Operación Endgame no termina hoy», promete el sitio. “Las nuevas acciones se anunciarán en este sitio web”. Un mensaje en Operation-endgame.com promete más acciones policiales y de interrupción. Tal vez reconociendo que muchos de los principales ciberdelincuentes actuales residen en países que están efectivamente fuera del alcance de las fuerzas del orden internacionales, acciones como la Operación Endgame parecen cada vez más centradas en juegos mentales, es decir, trolear a los piratas informáticos. En la edición de este mes de Wired, Matt Burgess argumenta que los funcionarios encargados de hacer cumplir la ley occidentales han recurrido a medidas psicológicas como una forma adicional de frenar a los piratas informáticos rusos y llegar al corazón del extenso ecosistema del cibercrimen. «Estas incipientes operaciones psicológicas incluyen esfuerzos para erosionar la confianza limitada que los delincuentes tienen entre sí, abriendo brechas sutiles entre los frágiles egos de los piratas informáticos y enviando a los delincuentes mensajes personalizados que demuestran que están siendo observados», escribió Burgess. Cuando las autoridades de EE. UU. y el Reino Unido anunciaron en febrero de 2024 que se habían infiltrado y confiscado la infraestructura utilizada por la infame banda de ransomware LockBit, tomaron prestado el diseño existente del sitio web de LockBit para avergonzar a las víctimas y vincularlo a comunicados de prensa sobre la eliminación, e incluyeron un temporizador de cuenta regresiva que finalmente fue reemplazado con los datos personales del presunto líder de LockBit. Los federales utilizaron el diseño existente en el sitio web de LockBit para avergonzar a las víctimas para presentar comunicados de prensa y herramientas de descifrado gratuitas. El sitio web Operation Endgame también incluye un temporizador de cuenta regresiva, que sirve para provocar el lanzamiento de varios videos animados que imitan el mismo tipo de anuncios cortos y llamativos que los ciberdelincuentes establecidos suelen producir para promocionar sus servicios en línea. Al menos dos de los vídeos incluyen una cantidad sustancial de texto escrito en ruso. La eliminación coordinada se produce inmediatamente después de otra acción policial esta semana contra lo que el director del FBI llamó «probablemente la botnet más grande del mundo». El miércoles, el Departamento de Justicia de Estados Unidos (DOJ) anunció el arresto de YunHe Wang, el presunto operador del servicio de anonimato en línea 911 S5, que lleva diez años funcionando. El gobierno también se apoderó de los dominios y la infraestructura en línea del 911 S5, que supuestamente convirtió computadoras que ejecutaban varios productos «VPN gratuitos» en retransmisores de tráfico de Internet que facilitaron miles de millones de dólares en fraude en línea y delitos cibernéticos.