El jueves, las autoridades desmantelaron una botnet, un marco de malware y confiscaron la infraestructura que Evil Corp y otros grupos de delitos cibernéticos utilizaban para robar datos e ingresar a varias redes.

El esfuerzo coordinado a nivel mundial se centró en SocGholish, un malware de varias etapas que ha comprometido sitios web, ha redirigido a los usuarios a sistemas de distribución de tráfico (TDS) y ha introducido malware en sus redes desde 2017.

«El malware establece un punto de apoyo inicial en las computadoras de las víctimas, conocido colectivamente como botnet, y luego es utilizado por actores de amenazas para atacar más con campañas de ransomware y espionaje», dijo la división cibernética del FBI en un comunicado.

Empresas de ciberseguridad, investigadores y funcionarios de Estados Unidos, Canadá, Alemania, Países Bajos y Europol desactivaron 106 servidores y remediaron casi 15.000 sitios que estaban infectados con el malware. Los funcionarios también desactivaron la botnet y notificaron a las víctimas.

Los sitios infectados con SocGholish, que están alojados principalmente en WordPress, estaban muy extendidos y brindaban servicios cotidianos, incluidos restaurantes y talleres de reparación de automóviles, según el policía nacional holandesa.

La botnet, también conocida como “FakeUpdates”, está vinculada al grupo ruso de cibercrimen Evil Corp. También proporcionó acceso inicial a otras variantes de ransomware, incluidos DoppelPaymer, WastedLoocker, Hades Ransomware, LockBit, RansomHub y otros, según Infobloxque participó en el derribo.

Proofpoint, que también participó en la interrupción, describió a Evil Corp como uno de los Los grupos de cibercrimen más destacados en funcionamiento y el «abuelo» de un tipo de amenaza que compromete sitios web y utiliza TDS para redirigir a los usuarios al malware.

Tras el derribo, el FBI emitió un anuncio de servicio publico advirtiendo sobre los ciberdelincuentes que utilizan TDS para ingresar a las redes de las víctimas en busca de ransomware u otras estafas financieras.

Los ciberdelincuentes redirigen el tráfico de los sitios para eludir los cortafuegos, ocultar su actividad, identificar víctimas potenciales y enviarlas a páginas de phishing para robar credenciales, iniciar estafas financieras, acceder a redes, distribuir otro malware y vender acceso a otros ciberdelincuentes, dijeron los funcionarios.

La acción policial fue parte de Operación finalun esfuerzo multinacional contra el ciberdelito desde 2024, y más específicamente para el FBI como parte de la Operación Riptide, una campaña en curso dirigida a los ciberdelincuentes y la infraestructura y las redes financieras que utilizan para cometer fraude.