Las autoridades detrás de la Operación Endgame están buscando información sobre un individuo conocido como Odd, que se cree es el cerebro responsable del malware Emotet.
El sujeto también es identificado con otros apodos, incluyendo Aron, C700, Cbd748, Ivanov Odd, Mors, Morse y Veron. Según un video publicado por las agencias, se hace la pregunta de con quién está trabajando y cuál es su producto actual, lo que sugiere que posiblemente no esté operando solo y podría colaborar con otros en la creación de malware además de Emotet.
La comunidad de ciberseguridad ha rastreado al responsable de Emotet con los nombres Gold Crestwood, Mealybug, Mummy Spider y TA542.
Iniciado como un troyano bancario, Emotet evolucionó a una herramienta más amplia capaz de distribuir otros tipos de malware como TrickBot, IcedID, QakBot, entre otros. Aparició nuevamente a fines de 2021, aunque en campañas de bajo perfil, tras una operación policial que desmanteló su infraestructura.
En marzo de 2023 se descubrió que las cadenas de ataque que distribuyen una versión actualizada del malware utilizaban archivos adjuntos de correo electrónico de Microsoft OneNote para evadir las restricciones de seguridad. Desde principios de abril de 2023 no se han observado nuevas actividades relacionadas con Emotet.
Un esfuerzo coordinado resultó en cuatro arrestos y el desmantelamiento de más de 100 servidores asociados con operaciones de malware como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee y TrickBot con el fin de acabar con el ecosistema del corredor de acceso inicial (CAI) utilizado en ataques de ransomware.
La Oficina Federal de Policía Criminal de Alemania (Bundeskriminalamt) también reveló las identidades de ocho ciberdelincuentes que desempeñaron papeles clave en las operaciones de malware SmokeLoader y TrickBot. Todos ellos han sido agregados a la lista de los más buscados de la Unión Europea.
Según la Policía Nacional de Ucrania (NPU), todos estos servicios maliciosos eran parte de las operaciones de organizaciones cibercriminales rusas como BlackBasta, Revil, Conti y se utilizaron para atacar a numerosas empresas occidentales, incluyendo instituciones médicas.
Los ataques cibernéticos utilizando malware dependen de cuentas comprometidas para atacar a las víctimas y propagar correos electrónicos maliciosos. Los operadores de botnets utilizan credenciales robadas obtenidas a través de troyanos de acceso remoto (RAT) para acceder inicialmente a redes y organizaciones.
Datos compartidos por la firma suiza de ciberseguridad PRODAFT indican que los actores criminales en foros clandestinos como XSS.IS están en alerta tras la operación. Se ha observado que los moderadores instan a otros a tener cuidado y verificar si sus servidores privados virtuales (VPS) cayeron entre el 27 y el 29 de mayo de 2024.
Se ha descubierto que el moderador, codificado como bratva, comparte los nombres de las ocho personas reveladas por el Bundeskriminalamt, mientras señala que la Operación Endgame es una de las «consecuencias de gran alcance de los registros filtrados del ransomware Conti«.
Otros actores en el foro expresan curiosidad acerca de quién pudo haber filtrado los chats y plantean la posibilidad de que haya un informante colaborando con las autoridades. Además, afirman que Rumania y Suiza no compartirían datos sobre actores criminales dentro de sus fronteras a menos que sea una «amenaza extrema» como el terrorismo.
Vía The Hacker News
