Entre el 19 y 22 de mayo pasado, la operación conjunta entre agencias de Norteamérica y Europa logró desactivar más de 300 servidores y 650 dominios, además de incautar unos 3,5 millones de euros en criptomondas. En la acción también se emitieron al menos 20 órdenes de arresto.
Una amplia ofensiva liderada por Europol y Eurojust, y coordinada entre agencias policiales de Europa y Norteamérica bajo el nombre de Operación Endgame, logró desmantelar una vasta infraestructura cibercriminal utilizada para distribuir y lanzar ataques de ransomware contra empresas, instituciones gubernamentales y particulares.
Entre el 19 y el 22 de mayo, las autoridades intervinieron más de 300 servidores y neutralizaron 650 dominios utilizados para actividades cibercriminales. Además, se incautaron 3,5 millones de euros en criptomonedas, lo que eleva a 21,2 millones de euros el total de activos confiscados desde el inicio de la operación.
“Del 19 al 22 de mayo, las autoridades derribaron unos 300 servidores en todo el mundo, neutralizaron 650 dominios y emitieron órdenes de arresto internacionales contra 20 objetivos, lo que asestó un golpe directo a la cadena de ataque del ransomware”, informó Europol en su sitio web oficial.
La ofensiva se centró en una serie de redes de malware de acceso inicial -incluidas DanaBot, Qakbot, Bumblebee, Lactrodectus, Trickbot y Warmcookie- que son comúnmente ofrecidas como servicio a otros cibercriminales para facilitar el acceso a sistemas vulnerables. Este acceso inicial suele ser el primer paso antes de desplegar cargas útiles más destructivas, como el ransomware.
“La disrupción causada por los recientes incidentes que afectan al sector minorista es, naturalmente, motivo de preocupación para las empresas afectadas, sus clientes y el público en general”, expresó Catherine De Bolle, directora ejecutiva de Europol. “Esta nueva fase demuestra la capacidad de las fuerzas del orden para adaptarse y volver a atacar, incluso mientras los ciberdelincuentes se reestructuran y reorganizan”.
Una de las acciones más destacadas de esta operación fue el desmantelamiento de la red de DanaBot, un malware identificado por primera vez en 2018 y que ha sido utilizado para comprometer más de 300 mil dispositivos en todo el mundo. La botnet operaba bajo el modelo de “malware como servicio” (Malware-as-a-Service, MaaS), donde sus administradores arrendaban el acceso a ciberdelincuentes por una tarifa mensual que rondaba los tres mil y cuatro mil dólares.
Además de facilitar fraudes por más de 50 millones de dólares, DanaBot ha sido señalado por el Departamento de Justicia de Estados Unidos (DOJ) como una herramienta utilizada tanto para delitos financieros como para ciberespionaje. Una segunda versión del malware estaba específicamente diseñada para espiar a organizaciones gubernamentales, militares y diplomáticas en Norteamérica y Europa.
“Esta versión de la botnet registraba todas las interacciones con la computadora y enviaba los datos robados a un servidor distinto al de la versión fraudulenta de DanaBot”, indicó el Departamento de Justicia. “Se utilizó presuntamente para atacar a diplomáticos, agentes del orden y militares”.
Como parte de esta operación, el Departamento de Justicia estadounidense presentó cargos contra 16 individuos vinculados a DanaBot, muchos de ellos residentes en Rusia. Aleksandr Stepanov y Artem Aleksandrovich Kalinkin, ambos de Novosibirsk, enfrentan cargos que incluyen fraude electrónico, robo de identidad, daño a sistemas informáticos y escuchas ilegales. Kalinkin podría enfrentar hasta 72 años de prisión si es declarado culpable.
Las autoridades estadounidenses también han colaborado con organizaciones como la Fundación Shadowserver en el Reino Unido para notificar a posibles víctimas del malware. Además, el Departamento de Defensa de los Estados Unidos (DOD) confirmó que participó activamente en el rastreo y desmantelamiento de servidores de comando y control de DanaBot dentro del territorio estadounidense.
“DanaBot representaba una amenaza clara para el Departamento de Defensa y nuestros aliados”, declaró Kenneth DeChellis, funcionario del Departamento de Defensa.
Esta fase de la Operación Endgame se suma a otras acciones previas, como la detención en 2024 de un experto en cifrado vinculado a los grupos Conti y LockBit, y la confiscación de 2.300 dominios vinculados al malware Lumma a principios de mayo.
La Operación Endgame fue coordinada por Europol y Eurojust, con la participación activa de agencias policiales y judiciales de Alemania, Francia, Países Bajos, Dinamarca, Reino Unido, Ucrania y Estados Unidos. Además, colaboraron importantes entidades del sector privado, incluyendo empresas tecnológicas y de ciberseguridad como Amazon, Google, Proofpoint, CrowdStrike, Zscaler, ESET, PayPal y la organización sin fines de lucro Shadowserver Foundation, con sede en el Reino Unido.