Una operación policial coordinada, denominada MORPHEUS, ha desmantelado cerca de 600 servidores utilizados por grupos cibercriminales, que formaban parte de una infraestructura de ataque vinculada a Cobalt Strike.
De acuerdo con Europol, la operación se centró en versiones antiguas y no licenciadas del sistema de reconocimiento facial Cobalt Strike entre el 24 y el 28 de junio. De las 690 direcciones IP identificadas como asociadas con actividades delictivas y señaladas a proveedores de servicios en línea en 27 países, 590 ya no son accesibles.
La operación conjunta, que se inició en 2021, fue dirigida por la Agencia Nacional contra el Crimen (NCA) del Reino Unido e incluyó a autoridades de Australia, Canadá, Alemania, Países Bajos, Polonia y Estados Unidos. Funcionarios de Bulgaria, Estonia, Finlandia, Lituania, Japón y Corea del Sur también brindaron apoyo adicional.
Explotación de Software Legítimo por Cibercriminales
Cobalt Strike es una herramienta comercial ampliamente utilizada, desarrollada por la empresa de software de ciberseguridad Fortra. Está destinada a ayudar a los profesionales legítimos en seguridad informática a realizar simulaciones de ataques para identificar vulnerabilidades en las operaciones de seguridad y en las respuestas a incidentes. Sin embargo, en manos equivocadas, las copias sin licencia de Cobalt Strike pueden otorgar a los actores maliciosos una amplia gama de capacidades de ataque.
Fortra implementó medidas significativas para prevenir el abuso de su software y ha colaborado estrechamente con las fuerzas del orden durante esta investigación para proteger el uso legítimo de sus herramientas. A pesar de estos esfuerzos, en raras ocasiones, los delincuentes han logrado robar versiones antiguas de Cobalt Strike y crear copias pirateadas para obtener acceso no autorizado a sistemas mediante puertas traseras e implementar malware. Estas versiones sin licencia de la herramienta han estado involucradas en numerosas investigaciones relacionadas con malware y ransomware, incluyendo RYUK, Trickbot y Conti.
Conoce más sobre: Cobalt Strike y las Pruebas de Penetración
Operación MORPHEUS
El FBI ha anunciado el desmantelamiento de lo que se considera la mayor red de bots del mundo, compuesta por un ejército de 19 millones de computadoras infectadas, que era alquilada a piratas informáticos para la realización de delitos cibernéticos.
Según un comunicado emitido el miércoles por el director del FBI, Christopher Wray, la botnet, que se extendía por más de 190 países, facilitaba el fraude financiero, el robo de identidad y el acceso a materiales de explotación infantil en todo el mundo. Otras actividades delictivas relacionadas con la botnet incluían amenazas de bomba y ciberataques, los cuales probablemente causaron miles de millones de dólares en pérdidas a las víctimas, según el Departamento de Justicia.
Las autoridades informaron que la botnet estaba vinculada a más de 613,000 direcciones IP en Estados Unidos. Las botnets se crean cuando ciberdelincuentes instalan malware en computadoras u otros dispositivos conectados, convirtiéndolos en un ejército zombi que opera sin el conocimiento de sus propietarios. Durante la operación, las fuerzas del orden confiscaron equipos y activos de internet, y aplicaron sanciones contra el presunto administrador de la botnet, YunHe Wang, así como contra sus cómplices, informó Wray.
Wang, un ciudadano chino, fue arrestado en Singapur el 24 de mayo, acusado de implementar malware y de crear y operar un servicio de proxy residencial conocido como “911 S5”. Este servicio, que comenzó en 2014, se basaba en una red de millones de computadoras residenciales con Windows comprometidas, según el gobierno de Estados Unidos. Wang generó millones de dólares al ofrecer a los ciberdelincuentes acceso a estas direcciones IP infectadas a cambio de una tarifa, informó el Departamento de Justicia.
Conoce más sobre: Desmantelan Gran Botnet 911 S5 y Arrestan a su Administrador
Conclusión
El desmantelamiento de una red de 600,000 bots por parte del FBI nos recuerda lo vulnerables que podemos ser y la importancia de mantener nuestra ciberseguridad. A medida que las amenazas cibernéticas se vuelven más sofisticadas, la colaboración entre países y el uso de tecnología avanzada serán fundamentales para proteger nuestras redes y datos. Estar bien informados y adoptar buenas prácticas de seguridad es esencial para todos, tanto individuos como organizaciones, en la lucha contra la ciberdelincuencia.