Una operación policial internacional cuyo nombre en código es Synergia ha derribado más de 1.300 servidores de comando y control utilizados en campañas de ransomware, phishing y malware.
Los servidores de comando y control (C2) son dispositivos operados por actores de amenazas para controlar el malware utilizado en sus ataques y recopilar información enviada desde dispositivos infectados. Estos servidores permiten a los actores de amenazas enviar cargas útiles o comandos adicionales para ejecutarlos en dispositivos infectados, lo que los convierte en una arquitectura integral en muchos ataques.
Para algunos malware, desconectar un servidor de comando y control evita una mayor actividad maliciosa, ya que los actores de la amenaza no pueden enviar ni recibir datos de los dispositivos infectados.
La operación Synergia identificó y derribó servidores de comando y control entre septiembre y noviembre de 2023, con la participación de 60 agencias policiales de 55 países. Como resultado de esta acción, la policía identificó 1.300 direcciones IP de servidores C2 vinculadas a campañas de ransomware, malware y phishing.
Interpol dice que aproximadamente el 70% de los servidores de comando y control (C2) identificados durante la operación han sido desactivados, lo que constituye una perturbación significativa para los ciberdelincuentes.
La mayoría de esos servidores estaban ubicados en Europa, mientras que un número notable también se encontró en Singapur y Hong Kong. En África, la mayor parte de la actividad se produjo en Sudán del Sur y Zimbabwe, y en América, se encontraron y desmantelaron operaciones de malware en Bolivia.
Además, como resultado de Synergia, las autoridades policiales detuvieron a 31 personas que se cree que están vinculadas a operaciones de delitos cibernéticos e identificaron a otros 70 sospechosos. Las autoridades también realizaron 30 registros domiciliarios y confiscaron artículos que pueden ayudar en investigaciones posteriores. La mayoría de los servidores C2 caídos estaban en Europa, donde fueron arrestadas 26 personas.
- La policía de Hong Kong y Singapur derribó 153 y 86 servidores, respectivamente.
- Sudán del Sur y Zimbabwe informaron de la mayor cantidad de derribos en el continente africano, arrestando a cuatro sospechosos.
- Bolivia movilizó a una serie de autoridades públicas para identificar el malware y las vulnerabilidades resultantes.
- Kuwait trabajó en estrecha colaboración con proveedores de servicios de Internet para identificar a las víctimas, realizar investigaciones de campo y ofrecer orientación técnica para mitigar los impactos.
La empresa de ciberinteligencia Group-IB, que participó en la operación alimentando las investigaciones con datos cruciales, informa que esta vez se identificaron más de 1.900 direcciones IP asociadas con operaciones de ransomware, troyanos bancarios y malware.
Group-IB dijo que el 30% restante de los servidores que aún no se han desconectado están actualmente bajo investigación por su papel en operaciones de ciberdelito. Otros socios de ciberinteligencia que participaron en Synergia son Kaspersky, Trend Micro, Shadowserver y Team Cymru.
Derribar los servidores C2 es un paso importante para interrumpir las actividades de delincuencia cibernética, ya que son componentes cruciales en las operaciones de botnets, la exfiltración de datos, la recuperación de cargas útiles, la coordinación de ataques, la ejecución remota de comandos y más.
Además, la incautación de servidores a menudo puede ayudar a recopilar información que puede ser fundamental para continuar las investigaciones sobre operaciones específicas de delitos cibernéticos.
Sin embargo, los derribos de C2 no siempre son efectivos. Por ejemplo, las botnets peer-to-peer diseñadas para ser resistentes pueden recuperarse rápidamente de tales interrupciones, mientras que los actores de ransomware pueden pasar a utilizar dominios y servidores de respaldo.
Este acontecimiento llega un mes después de que otra operación policial internacional de seis meses de duración denominada HAECHI-IV resultó en el arresto de casi 3.500 personas e incautaciones por valor de 300 millones de dólares en 34 países.
La Operación Synergia es también la última intervención de INTERPOL diseñada para erradicar diferentes tipos de delitos cibernéticos. En diciembre de 2023, la agencia anunció el arresto de 257 presuntos traficantes de migrantes y traficantes de personas asociados con grupos del crimen organizado transnacional de diferentes países.
"A más de 100 brasileños se les habían prometido trabajos en criptomonedas a través de anuncios en las redes sociales que ofrecían salarios generosos, bonificaciones de productividad, comida y alojamiento", dijo INTERPOL. "Sin embargo, una vez que llegaron, fueron retenidos contra su voluntad y obligados a realizar estafas de inversión en línea".
INTERPOL ha estado vigilando de cerca el fraude impulsado por la trata de personas, donde las víctimas son engañadas a través de anuncios de trabajo falsos para llegar a centros de estafa en línea y obligadas a cometer delitos financieros cibernéticos a escala industrial. Se estima que decenas de miles han sido traficadas en el Sudeste Asiático para llevar a cabo este tipo de estafas.
Fuente: THN