La Operación Endgame continúa ganando fuerza: esta semana, las autoridades han detenido al menos a cinco individuos vinculados como clientes del botnet Smokeloader, según informó Europol en un comunicado oficial.
Smokeloader, al igual que otras grandes operaciones de carga de malware como IcedID, Pikabot, Trickbot, Bumblebee y SystemBC, fue uno de los objetivos de la operación iniciada el año pasado, cuando se confiscaron más de 100 servidores utilizados por estas redes criminales.
Clientes identificados y arrestados gracias a evidencias digitales
La operación, que sigue activa, ha permitido a las autoridades analizar datos extraídos de los servidores incautados, entre ellos una base de datos de clientes registrados en los servicios del botnet Smokeloader.
“En una serie coordinada de acciones, los clientes del botnet Smokeloader, operado por el actor conocido como ‘Superstar’, enfrentaron consecuencias como arrestos, registros domiciliarios, órdenes de detención o entrevistas forzadas (‘knock and talks’)”, informó Europol.
Smokeloader se ofrecía como un servicio de pago por instalación, que permitía a sus clientes controlar dispositivos infectados para actividades como:
- Instalar ransomware
- Ejecutar criptomineros
- Capturar imágenes de cámaras web
- Registrar pulsaciones de teclado
Alias conectados a personas reales
Gracias a los registros digitales y alias en línea usados por los clientes, se logró identificar a individuos en la vida real, algunos de los cuales decidieron cooperar con las autoridades y permitir el análisis de dispositivos personales.
Europol también publicó una serie de videos animados para explicar cómo avanza la investigación y cómo se rastrea a los afiliados y clientes de Smokeloader.
Además, crearon un sitio web especial de la Operación Endgame, disponible incluso en ruso, para informar al público y facilitar la colaboración con personas que puedan tener información útil.
Sanciones y repercusiones más allá de Europa
Tras los primeros golpes de la Operación Endgame, se impusieron sanciones contra seis individuos vinculados a ciberataques que afectaron infraestructuras críticas, funciones estatales sensibles y servicios de emergencia en países de la Unión Europea.
La acción no quedó solo en Europa:
El Departamento del Tesoro de EE.UU. sancionó a los intercambios de criptomonedas Cryptex y PM2BTC, usados por múltiples grupos criminales –incluyendo bandas de ransomware rusas– para lavar dinero proveniente de ataques cibernéticos.
Conclusión
La ofensiva contra las redes de malware no se detiene. Con cada servidor intervenido y cada arresto realizado, la Operación Endgame demuestra que el ecosistema criminal digital también puede ser desmantelado, cliente por cliente.