Cierre de AVCheck y otros tres servicios utilizados para probar las capacidades de los programas maliciosos creados por múltiples actores, es parte de la exitosa operación Endgame. El más reciente golpe policial fue gracias a una colaboración de autoridades de Estados Unidos, Países Bajos y Finlandia.
Una operación internacional conjunta entre agencias policiales de los Estados Unidos, Países Bajos y Finlandia logró desmantelar varios sitios web utilizados durante más de una década por desarrolladores de malware para probar la efectividad de sus programas maliciosos frente a antivirus comerciales.
El Departamento de Justicia de los Estados Unidos (DOJ) confirmó que el pasado 27 de mayo fueron incautados los dominios AVCheck.net, Crypt.guru, Cryptor.live y Cryptor.biz, como parte de la llamada Operación Endgame, una campaña global que ya ha conducido al cierre de cientos de infraestructuras cibercriminales.
Estos sitios cumplían una función crítica en el ecosistema del cibercrimen, ya que permitían a los delincuentes probar y perfeccionar sus programas maliciosos contra herramientas de defensa antes de desplegarlos en ataques reales. De todos los portales mencionados, destaca el de AVCheck, el cual ofrecía un servicio conocido como «counter antivirus» (CAV), una suerte de laboratorio virtual donde los ciberdelincuentes podían verificar si sus creaciones lograban evadir los sistemas de seguridad más sofisticados del mercado.
“Eliminar el servicio AVCheck representa un paso importante en la lucha contra el crimen organizado digital”, afirmó Matthijs Jaspers, alto funcionario de la policía de los Países Bajos. “Con esta acción interrumpimos las operaciones criminales en una etapa temprana y prevenimos futuras víctimas”.
Las investigaciones revelaron que los administradores de AVCheck también estaban vinculados con servicios de «crypting», como Crypt.guru y Cryptor.biz, que se dedican a encriptar u ofuscar el código malicioso para hacerlo indetectable. El uso combinado de estas herramientas es común en el modus operandi de muchos grupos de ransomware, dado que primero se oculta el malware mediante crypting, luego se prueba en servicios como AVCheck, hasta finalmente se lanza el ciberataque.
El FBI, a través de su oficina en Houston, Texas, destacó el papel de estas plataformas como facilitadores del cibercrimen. “Los cibercriminales no solo crean malware; lo perfeccionan para lograr la máxima destrucción”, declaró el agente especial Douglas Williams. “Gracias a los servicios de contra antivirus, refinan sus armas para evadir los sistemas de seguridad más robustos del mundo, eludir el análisis forense y causar estragos en los sistemas de sus víctimas”.
Durante la operación, agentes encubiertos realizaron compras simuladas en los sitios intervenidos, lo que permitió recopilar pruebas directas sobre su uso cibercriminal. Asimismo, se identificaron correos electrónicos y otros datos que vinculan estas plataformas con grupos de ransomware altamente activos, como Ryuk, responsable de múltiples ataques en los Estados Unidos y otros países.
Según los documentos judiciales desclasificados, el servicio Cryptor.biz ha sido detectado en al menos 37 investigaciones diferentes dentro de los Estados Unidos. Las autoridades señalan que estos servicios eran anunciados ampliamente en foros de ciberdelincuencia, con precios que oscilaban entre los 15 y los mil dólares, dependiendo del número de pruebas de detección que deseaba realizar el cliente.
En un intento por disuadir a los usuarios antes del cierre definitivo de AVCheck.net, la policía colocó una página de inicio falsa que advertía a los visitantes sobre las posibles consecuencias legales de utilizar el servicio. Tras su incautación oficial, el dominio ahora muestra un aviso de embargo con los emblemas del Departamento de Justicia, el FBI, el Servicio Secreto y la Policía de los Países Bajos.
“Esta investigación no solo se enfocó en los autores de ataques, sino también en quienes los habilitan”, explicó el fiscal federal Nicholas Ganjei. “Con este sindicato desmantelado, hay un proveedor menos de herramientas maliciosas para los criminales”.
La Operación Endgame continúa activa y ha sido considerada una de las más ambiciosas campañas coordinadas contra la infraestructura del cibercrimen, con más de 300 servidores y 650 dominios tomados hasta la fecha. Entre sus logros previos figuran interrupciones significativas a operaciones de malware populares como Danabot y Smokeloader.