Europol, en colaboración con la compañía de ciberseguridad Proofpoint y otras entidades del sector privado, ha anunciado la exitosa ejecución de la Operación Endgame. Esta iniciativa se ha dirigido a desarticular una de las mayores infraestructuras de malware y redes de bots, marcando un hito en la lucha contra el cibercrimen global.

Según Europol, esta operación es la más grande jamás realizada contra las botnets, las cuales juegan un papel crucial en la propagación del ransomware. La operación ha resultado en la identificación y detención de presuntos responsables, la desactivación de más de 100 servidores en diez países, y la puesta bajo control de más de 2.000 dominios. Además, se han congelado activos ilegales significativos.

Proofpoint ha sido un socio clave en esta operación, proporcionando su experiencia técnica y conocimiento detallado sobre las infraestructuras de botnets. Randy Pargman, director de detección de amenazas en Proofpoint, destacó el compromiso de la empresa en proteger no solo a sus clientes, sino también a la sociedad en general frente a amenazas avanzadas. «Nuestra misión es proporcionar la mejor protección centrada en el ser humano frente a amenazas avanzadas. En la Operación Endgame, compartimos nuestro conocimiento técnico para ayudar a las fuerzas de seguridad a priorizar y combatir amenazas significativas», afirmó Pargman.

La operación se centró en desmantelar varias redes de malware, entre las que se incluyen IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee y Trickbot. A continuación, se detallan algunos de estos malware y su impacto:

• SmokeLoader: Este malware actúa como un downloader con capacidades de robo y acceso remoto para instalar otros malware. Aunque ampliamente disponible en foros de habla rusa, ha sido utilizado en campañas que dirigen ataques a organizaciones ucranianas con señuelos de phishing.
• SystemBC: Un malware proxy y backdoor que se entregaba inicialmente a través de kits de exploits y se ha convertido en una herramienta popular en operaciones de ransomware como servicio. Rara vez observado en amenazas de correo electrónico, se despliega generalmente tras comprometer un sistema.
• IcedID: Originalmente un troyano bancario, IcedID ha evolucionado para actuar como un cargador de otros malware, incluido el ransomware. Aunque su actividad ha disminuido desde noviembre de 2023, los investigadores sugieren que los desarrolladores podrían estar detrás de un nuevo malware llamado Latrodectus.
• Pikabot: Este malware tiene dos componentes y está diseñado para ejecutar comandos y cargar payloads adicionales. Principalmente utilizado por el grupo TA577, no se ha observado en campañas de correo electrónico desde marzo de 2024, lo que sugiere que los ciberdelincuentes están adaptando sus tácticas.
• Bumblebee: Un sofisticado downloader utilizado para descargar y ejecutar payloads como Cobalt Strike y ransomware. Desde su identificación, ha estado presente en más de 200 campañas, aunque su actividad ha disminuido significativamente en 2024.

La Operación Endgame representa un avance significativo en la lucha contra el cibercrimen. La coordinación internacional y la colaboración entre el sector público y privado han sido cruciales para el éxito de esta operación. La interrupción de estas infraestructuras de malware no solo reduce la capacidad operativa de los ciberdelincuentes, sino que también envía un mensaje claro sobre la determinación de la comunidad global para combatir estas amenazas.

Con el apoyo continuo de expertos en ciberseguridad como Proofpoint, las fuerzas del orden seguirán desarrollando estrategias efectivas para proteger a las empresas y a los ciudadanos de los crecientes peligros del ciberespacio.