El gobierno de los Estados Unidos reveló hoy cargos penales contra 16 personas acusadas de operar y vender a Danabot, una prolífica cepa de malware que roba información que se ha vendido en los foros de ciberdurecimiento ruso desde 2018. El FBI dice que una versión más nueva de Danabot se utilizó para el espionaje, y que muchos de los defensores expusieron sus identidades de vida real después de infectar sus propios sistemas con los malware con los malware. Las características de Danabot, como se promueven en su sitio de soporte. Imagen: WelivesCurity.com. Inicialmente vistos en mayo de 2018 por investigadores de la firma de seguridad de correo electrónico Proofpoint, Danabot es una plataforma de malware como servicio que se especializa en robo de credenciales y fraude bancario. Hoy, el Departamento de Justicia de los Estados Unidos revisó una denuncia penal y una acusación de 2022, que dijo que el FBI identificó al menos 40 afiliados que pagaban entre $ 3,000 y $ 4,000 por mes por acceso a la plataforma de robador de información. El gobierno dice que el malware infectó más de 300,000 sistemas a nivel mundial, causando pérdidas estimadas de más de $ 50 millones. Los cabecillas de la conspiración de Danabot son nombrados Aleksandr Stepanov, de 39 años, también conocido como «Jimmbee» y Artem Aleksandrovich Kalinkin, de 34 años, también conocido como «Onix», ambos de Novosibirsk, Rusia. Kalinkin es ingeniero de TI para el gazprom de energía estatal ruso Gazprom. Su nombre de perfil de Facebook es «Maffiozi». Según el FBI, había al menos dos versiones principales de Danabot; El primero se vendió entre 2018 y junio de 2020, cuando el malware dejó de ser ofrecido en los foros de delitos cibernéticos rusos. El gobierno alega que la segunda versión de Danabot, que emerge en enero de 2021, fue proporcionada a los conspiradores de uso de las computadoras de organizaciones militares, diplomáticas y no gubernamentales en varios países, incluidos Estados Unidos, Bielorrusia, el Reino Unido, Alemania y Rusia. «Los conspiradores no acusados ​​utilizarían la variante de espionaje para comprometer las computadoras en todo el mundo y robar comunicaciones diplomáticas confidenciales, credenciales y otros datos de estas víctimas específicas», lee una gran acusación del jurado fechado el 20 de septiembre de 2022. «Esta datos robados incluyó las transacciones financieras de la correspondencia, la correspondencia de la actividad diplomática de la correspondencia, así como la actividad diplomática de la correspondencia, así como la actividad de las sumiones particulares de una parte de las sumas de los países particulares de las sumas de las interacciones. Estados «. La acusación dice que el FBI en 2022 incautó los servidores utilizados por los autores de Danabot para controlar su malware, así como los servidores que almacenaron datos de víctimas robados. El gobierno dijo que los datos del servidor también muestran numerosas instancias en las que los acusados ​​de Danabot infectaron sus propias PC, lo que resulta en que sus datos de credenciales se cargan a repositorios de datos robados que fueron incautados por los federales. «En algunos casos, tales autoinfecciones parecían hacerse deliberadamente para probar, analizar o mejorar el malware», dice la denuncia penal. «En otros casos, las infecciones parecían ser inadvertidas, uno de los peligros de cometer delitos cibernéticos es que los delincuentes a veces se infectan con su propio malware por error». Imagen: WeliveseCurity.com Una declaración del Departamento de Justicia dice que, como parte de la operación actual, los agentes del Servicio de Investigación Criminal de Defensa (DCIS) incautaron los servidores de control de Danabot, incluidas docenas de servidores virtuales alojados en los Estados Unidos. El gobierno dice que ahora está trabajando con socios de la industria para notificar a las víctimas de Danabot y ayudar a remediar las infecciones. La declaración acredita a una serie de empresas de seguridad que brindan asistencia al gobierno, incluidos ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team Cymru y Zscaler. No es desconocido que el software malicioso orientado financieramente sea reutilizado para el espionaje. Una variante del troyano Zeus, que se utilizó en innumerables ataques bancarios en línea contra empresas en los Estados Unidos y Europa entre 2007 y al menos 2015, fue desviado por un tiempo a las tareas de espionaje por parte de su autor. Como se detalla en esta historia de 2015, el autor del Troya de Zeus creó una versión personalizada del malware para servir puramente como una máquina de espionaje, que buscó sistemas infectados en Ucrania para palabras clave específicas en correos electrónicos y documentos que probablemente solo se encontrarían en documentos clasificados. La acusación pública de los 16 acusados ​​de Danabot se produce un día después de que Microsoft se uniera a una serie de compañías tecnológicas para interrumpir la infraestructura de TI para otra oferta de malware como servicio: el robador de Lumma, que también se ofrece a afiliados bajo precios de suscripción escalonados que van desde $ 250 a $ 1,000 por mes. Por separado, Microsoft presentó una demanda civil para confiscar el control sobre 2.300 nombres de dominio utilizados por Lumma Stealer y sus afiliados. Lecturas adicionales: Danabot: Análisis de un Blog de Zscaler del Imperio Caído: Danabot lanza un ataque DDoS contra el Ministerio de Defensa de Ucrania Flashpoint: Operación Fin de juego Danabot Malware Cymru: Dentro de la infraestructura de Danabot: en apoyo de la Operación Endgame II March 2022 Remandan v. Artem Aleksandrovich Kalinkin Septiembre 2022 Indectment Idictentment, Indectment, el criminal de 1622, el criminal de la criminal de los 1622, los 1622, el Interflamiento de los 16 años.