HayCanal.com

La Operación Endgame desarticula un relevante distribuidor mundial de malware y ransomware

La Operación Endgame desarticula un relevante distribuidor mundial de malware y ransomware

La más reciente actividad internacional llevada a cabo como parte de la Operación Endgame ha posibilitado desarticular una parte importante de la infraestructura de TA569, uno de los grupos de cibercrimen más destacados y duraderos del mundo de las ciberamenazas.

Este desmantelamiento, desarrollado conjuntamente por las autoridades de Alemania, Países Bajos, Estados Unidos y Canadá, con el apoyo de Europol, ha conseguido neutralizar más de un centenar de servidores y dominios en todo el mundo y sanear 14.971 sitios web comprometidos por la botnet SocGholish, la principal herramienta de distribución de malware usada por TA569.

Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha colaborado en este operativo, proporcionando inteligencia relacionada con la actividad de SocGholish para respaldar las investigaciones y actuaciones policiales. Sus investigadores llevaban realizando un seguimiento de este destacado grupo cibercriminal desde 2018.

TA569 está considerado uno de los pioneros en el uso de las denominadas inyecciones web de actualizaciones falsas, una técnica que compromete páginas legítimas para mostrar falsas alertas del navegador y persuadir a los usuarios para que descarguen malware. Lo que comenzó como una técnica empleada por un reducido número de ciberdelincuentes, popularizada e impulsada por TA569, se ha convertido en un método ampliamente adoptado por numerosos grupos, incluidos ClearFake, ZPHP y ErrTraffic, consolidándose como una de las tácticas de distribución de malware más extendidas de los últimos años.

Este grupo ha desempeñado un papel fundamental en la evolución del ecosistema moderno de las inyecciones web maliciosas”, señalan los investigadores de Proofpoint. “La interrupción de su infraestructura tendrá un impacto significativo en su capacidad operativa, afectando a la distribución de malware, la continuidad de sus servicios, su reputación dentro del ecosistema criminal y su capacidad para atraer nuevos clientes”.

Ataques por explotación masiva de sitios web legítimos

La actividad de TA569 se basa en inyecciones maliciosas de SocGholish que se muestran a los visitantes de los sitios web comprometidos, un sistema de distribución de tráfico que determina qué usuarios recibirán cada carga maliciosa, y la entrega final de GhoLoader, un malware capaz de facilitar posteriores ataques de ransomware. Entre las familias de ransomware asociadas a SocGholish se encuentran WastedLocker, LockBit y RansomHub.

Las infecciones comienzan habitualmente con la vulneración de entornos WordPress, plataformas de alojamiento web o sistemas de gestión de contenidos. Según Proofpoint, parte de la distribución se produce a través de correos electrónicos legítimos que contienen enlaces a estos sitios web comprometidos. Aunque tanto los mensajes como las URLs parezcan inofensivos, en realidad redirigen silenciosamente el tráfico hacia infraestructuras controladas por los atacantes. Estos obtienen acceso con credenciales comprometidas, vulnerabilidades conocidas, fallos de seguridad en plugins y explotación de vulnerabilidades de día cero.

Una vez obtenido el acceso, establecen múltiples mecanismos de persistencia para mantener el control sobre el sitio web, como la creación de cuentas administrativas adicionales, la instalación de puertas traseras ocultas o la implantación de plugins falsos diseñados para permanecer invisibles desde la interfaz de administración.

Muchas de las intrusiones de TA569 afectaron a sitios web que reciben millones de visitantes diarios, de ahí que se la considere como una de las amenazas con mayor capacidad de impacto sobre usuarios de todo el mundo. Proofpoint ha identificado infecciones en medios de comunicación, plataformas de comercio electrónico, hospitales, centros educativos o entidades sin ánimo de lucro, entre otros objetivos.

Un ecosistema criminal en constante evolución

Aunque TA569 ha sido uno de los principales impulsores de esta técnica, Proofpoint sigue actualmente de cerca a una docena de grupos distintos involucrados en campañas de inyección web. El crecimiento de esta técnica se ha acelerado especialmente desde 2023 y se ha intensificado durante los últimos meses. Asimismo, la aparición de ClickFix en 2024 ha contribuido a aumentar la efectividad de estas campañas, al aprovechar la confianza de los usuarios en notificaciones aparentemente legítimas de sus propios sistemas operativos.

Las acciones policiales dirigidas contra TA569 son, sin duda, un paso muy importante contra la ciberdelincuencia, pero el ecosistema de las inyecciones web continúa evolucionando. Es probable que otros grupos ganen protagonismo y adopten tácticas similares, por lo que las organizaciones deben mantener una estrategia de defensa en profundidad”, advierten los investigadores de Proofpoint.

Fortalecer la detección y prevenir riesgos

Tras este nuevo golpe de la Operación Endgame, Proofpoint mantiene su recomendación a las organizaciones de reforzar sus capacidades de detección y adoptar medidas preventivas para reducir el riesgo asociado a este tipo de amenazas. Entre ellas destacan:

  • Implementar sistemas de detección de red y soluciones avanzadas de protección para endpoints, así como tecnologías de aislamiento del navegador.
  • Formar a los usuarios para identificar y reportar comportamientos sospechosos.
  • Restringir la descarga y ejecución de archivos de script en entornos Windows.
  • Considerar la desactivación de PowerShell en usuarios que no lo necesiten a diario.

Para Proofpoint, su misión es ofrecer la mejor protección frente a las amenazas avanzadas. “Siempre que resulte posible, como en el caso de la Operación Endgame, ponemos a disposición de las fuerzas de seguridad nuestra experiencia e inteligencia para contribuir a proteger a un público más amplio frente a campañas de malware de gran alcance”, concluyen desde la compañía de ciberseguridad centrada en personas, datos y agentes de IA.

Tecnología Internet Ciberseguridad Servidores Ecommerce Malware Ransomware

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. CrowdStrike reconoce a Ignition Technology como distribuidor del año 2026 en Europa

2. Integración de inteligencia artificial agéntica en HBX Group por Ayesa Digital

3. Nueva Guía de Implementación de DNS

4. Netskope lanza un nuevo programa y una nueva solución para partners

5. Check Point Software e Illumio amplían su alianza estratégica para frenar los ataques autónomos de IA avanzada

Últimas Noticias

1. La Operación Endgame desarticula un relevante distribuidor mundial de malware y ransomware

2. Evitar costes de la IA en la empresa

3. Las suscripciones 5G en el mundo ya han superado la barrera de los 3.000 millones

4. Acuerdo de distribución de Westcon-Comstor con Cloudflare para EMEA

5. Conclusion Lifecycle integra la plataforma de observabilidad Dynatrace

Nombramientos