Europol anunció que, en la fase final de la Operación Endgame, se congelaron más de 41 millones de euros en criptomonedas relacionadas con el crimen, equivalentes a aproximadamente 47 millones de dólares. La operación internacional, que duró dos semanas y contó con la participación de varios países, asestó un duro golpe a una infraestructura cibercriminal centrada en atacar billeteras de criptomonedas e información de cuentas a través de malware.
Desmantelamiento mayor de redes de malware
La operación desmanteló la infraestructura detrás de tres notorias familias de malware: SocGholish, Amadey y StealC. Según Europol, estas herramientas se utilizaron para robar contraseñas y datos de billeteras de criptomonedas, alimentando fraudes, toma de cuentas y campañas de ransomware en todo el mundo.
Europol declaró que en la última etapa de la operación, activos criptográficos obtenidos de forma criminal, valorados en más de 41 millones de euros, fueron identificados, señalados y congelados.
Se informó que Amadey proporcionaba acceso inicial a los sistemas objetivo, permitiendo la instalación de malware adicional. SocGholish, vinculado al grupo cibercriminal ruso Evil Corp, se propagó mediante alertas falsas de actualización de navegador incrustadas en sitios web comprometidos. Las autoridades señalaron que estas dos herramientas de malware típicamente iniciaban cadenas de ataque, llevando a billeteras vacías o incidentes de ransomware a medida que los ataques se desarrollaban.
Glosario: Un infostealer es un tipo de malware que recolecta de manera encubierta contraseñas guardadas, archivos de billeteras, claves privadas y frases de recuperación de dispositivos infectados. CaaS se refiere a “Cybercrime-as-a-Service,” donde las herramientas e infraestructura criminal están disponibles para alquiler.
Servidores y dominios desmantelados
Las agencias de aplicación de la ley desactivaron 326 servidores y 142 nombres de dominio como parte del esfuerzo coordinado. Aproximadamente 27 millones de credenciales robadas, de más de 385,000 sistemas comprometidos, fueron recuperadas. Casi 15,000 sitios web infectados, en su mayoría pertenecientes a pequeñas empresas, también fueron limpiados durante la operación.
| Ítem | Datos |
|---|---|
| Activos criptográficos congelados | Más de 41 millones de euros |
| Servidores desmantelados | 326 |
| Dominios desactivados | 142 |
| Credenciales recuperadas | Alrededor de 27 millones |
| Sistemas comprometidos | Más de 385,000 |
Microsoft, que apoyó la operación, informó que se encontraron más de 140,000 computadoras infectadas con malware Amadey y StealC solo en las primeras dos semanas de mayo. La Unidad de Crímenes Digitales de la compañía reveló que, en los últimos nueve meses, cinco organizaciones que respaldaban el modelo de Cybercrime-as-a-Service fueron desmanteladas.
Las billeteras de criptomonedas son un objetivo principal
Los expertos advierten que el malware robador de información se ha convertido en un método líder para el robo de criptomonedas. Los atacantes pueden desviar de manera encubierta archivos de billeteras, claves privadas y frases de recuperación directamente de los dispositivos de las víctimas, a menudo sin ninguna señal de ataque. Además del phishing clásico, los criminales emplearon tácticas como herramientas falsas de IA, temas de plataformas de juegos y complementos de juegos piratas para distribuir malware.
Microsoft señaló que, aunque Amadey y StealC fueron desarrollados por diferentes grupos, operaban en infraestructuras compartidas, lo que permitió a la compañía apuntar a ambos dentro de una única red criminal.
Una fase anterior de la Operación Endgame reveló que las credenciales de inicio de sesión de más de 100,000 billeteras de criptomonedas habían sido comprometidas pero aún no explotadas. Con esta última fase, las autoridades continúan los esfuerzos para interrumpir el control de los atacantes y han identificado más de 18,000 computadoras victimizadas hasta ahora.
Las autoridades emiten advertencias para los usuarios
Los funcionarios enfatizaron que, si bien tales operaciones pueden interrumpir significativamente las redes de malware, eliminar el software malicioso por completo sigue siendo un desafío, ya que los operadores cibercriminales a menudo se reagrupan y adaptan. Notablemente, se informó que una nueva versión de StealC surgió este mes.
Europol y sus socios están dirigiendo a las víctimas a servicios como Have I Been Pwned, permitiendo que las personas verifiquen si sus credenciales de inicio de sesión o datos de billeteras de criptomonedas pueden haber caído en manos de atacantes y tomen medidas de protección si es necesario.
