La gran operación internacional contra las redes de malware conocida como Operation Endgame sigue dando frutos.
Europol ha confirmado que al menos cinco personas han sido detenidas en los últimos días por estar vinculadas como clientes del botnet Smokeloader, una de las herramientas más empleadas por cibercriminales para distribuir otros tipos de malware y ejecutar ataques.
Estos arrestos llegan tras el análisis de datos de más de 100 servidores incautados, utilizados por distintas familias de malware como IcedID, Trickbot, Pikabot, Bumblebee, SystemBC y la propia Smokeloader.
La operación, coordinada entre agencias policiales de toda Europa, no ha terminado. Según la agencia, aún se están rastreando más implicados, que han sido clientes de las empresas maliciosas.
Por ahora Europol no ha dado detalles sobre los detenidos. No obstante, ha informado de que se han producido interrogatorios y el bloqueo de servidores.
Algunos de los sospechosos se han prestado a cooperar con las fuerzas del orden y han permitido el examen de las evidencias digitales presentes en sus dispositivos personales.
La agencia ha creado un sitio web para dar a conocer sus últimos avances, además de clarificar mediante vídeos animados cómo se rastrea la actividad de los afiliados y clientes.
También ha pedido la colaboración ciudadana a través de la página de la Operación Endgame. Además, la plataforma se encuentra también traducida al ruso, idioma común entre muchos actores de la ciberdelincuencia.
Un servicio criminal bajo demanda
El botnet Smokeloader fue creado y operado por un cibercriminal conocido como "Superstar", quien ofrecía el acceso a máquinas infectadas mediante un modelo de negocio de tipo "pay-per-install". Es decir, los delincuentes podían pagar por cada nuevo dispositivo comprometido, al que accedían de forma remota para desplegar amenazas adicionales.
Entre los usos más comunes de Smokeloader estaban el robo de datos, el registro de pulsaciones de teclado (keylogging), la activación remota de webcams, el minado de criptomonedas sin consentimiento o el despliegue de ransomware.
Este malware comenzó a circular hace más de una década y se ha mantenido activo desde entonces gracias a su capacidad para pasar desapercibido, su flexibilidad y su uso como plataforma para cargar amenazas adicionales en los dispositivos de las víctimas. Es comúnmente distribuido a través de correos electrónicos de phishing o campañas maliciosas que explotan vulnerabilidades del sistema.
Repercusiones internacionales
El año pasado, como parte de las acciones coordinadas, se impusieron sanciones a seis individuos relacionados con ciberataques que afectaban a infraestructuras críticas, funciones del estado o centros de datos sensibles dentro de la Unión Europea.
Paralelamente, el Departamento del Tesoro de EE.UU. sancionó a dos plataformas de intercambio de criptomonedas, Cryptex y PM2BTC, utilizadas por bandas de ransomware, muchas de ellas de origen ruso, para blanquear los fondos obtenidos de forma ilícita.