Según anunció el Departamento de Justicia de los Estados Unidos, el FBI y el
Servicio de Investigación Criminal de Defensa (DCIS) del Departamento de
Defensa de los Estados Unidos
han logrado
desbaratar la infraestructura del famoso infostealer Danabot en un nuevo golpe
de
Operación End Game.
DanaBot, ofrecido bajo un modelo de malware como servicio, fue inicialmente un
troyano bancario que permitía a los usuarios robar datos confidenciales de los
sistemas infectados. Posteriormente, se convirtió en una plataforma de
distribución y cargador para otras familias de malware, incluido el
ransomware.
El esfuerzo de desmantelamiento forma parte de la Operación Endgame, que
anteriormente también se centró en familias de malware como
Lumma Stealer, Lactrodectus, Qakbot, Hijackloader, Smokeloader, WarmCookie, TrickBot y
Bumblebee.
DanaBot, al igual que el malware Lumma Stealer, recientemente desmantelado,
opera bajo un esquema de malware como servicio (MaaS), donde los
administradores alquilan el acceso desde 500 dólares hasta varios miles de
dólares al mes. Rastreado bajo los nombres de Scully Spider y
Storm-1044, es una herramienta multifuncional similar a Emotet, TrickBot, QakBot, e
IcedID, capaz de actuar como ladrón y vector de distribución de cargas útiles
de siguiente etapa, como ransomware.
Europol anunció que, en la
última fase de la
Operación Endgame, dirigida a DanaBot y otras familias de malware que resurgieron tras
anteriores intentos de desmantelamiento, las autoridades y socios del sector
privado se propusieron romper la cadena de ataque del ransomware desde su
origen, derribando aproximadamente 300 servidores y 650 dominios, y emitiendo
órdenes de arresto internacionales contra 20 personas. «Además, durante la semana de la operación se incautaron 3,5 millones de
euros en criptomonedas, lo que eleva el total incautado durante la Operación
Endgame a más de 21,2 millones de euros», indicó la agencia.
El esfuerzo conjunto de desmantelamiento también condujo a la identificación
de individuos responsables del desarrollo, las ventas y la administración de
Danabot, entre otros. Empresas participaron de los hallazgos:
ESET, Amazon,
CrowdStrike, Flashpoint, Google, Intel471, PayPal,
Proofpoint, Team Cymru, Zscaler y Europol.
Danabot, que pertenece a un grupo
de familias de malware infostealer y/o bancario codificado en el lenguaje de
programación Delphi,
ganó notoriedad en 2018
al ser utilizado en una
campaña de spam
dirigida a usuarios australianos. Desde entonces, Danabot
se ha expandido
a otros mercados a través de varias campañas, ha sufrido varias
actualizaciones importantes
de su infraestructura interna y backend, y ha experimentado picos y caídas de
popularidad entre los ciberdelincuentes.
-
La investigación
ha estado rastreando
la actividad de Danabot desde 2018 como parte de un esfuerzo global que
resultó en una gran interrupción de la infraestructura del malware. -
Aunque se desarrolló principalmente como infostealer y troyano bancario,
Danabot también se ha utilizado para distribuir malware adicional, incluido
ransomware. -
Los autores de Danabot promocionan su conjunto de herramientas a través de
foros clandestinos y ofrecen varias opciones de alquiler a posibles
afiliados. -
El conjunto de herramientas típico proporcionado por los autores de Danabot
a sus afiliados incluye una aplicación de panel de administración, una
herramienta de backconnect para el control en tiempo real de los bots y una
aplicación de servidor proxy que retransmite la comunicación entre los bots
y el servidor de C&C real. -
Los afiliados pueden elegir entre varias opciones para generar nuevas
versiones de Danabot, y es su responsabilidad distribuir estas versiones a
través de sus propias campañas.
Como parte de la Operación Endgame, las fuerzas del orden incautaron un total
de 24 millones de dólares en criptomonedas, incluyendo 4 millones de dólares
en la última operación.
Documentos judiciales revelaron que
muchos de los ciberdelincuentes fueron identificados tras infectar
accidentalmente sus propios ordenadores con el malware DanaBot.
La Oficina Federal de Policía Criminal de Alemania (Bundeskriminalamt o BKA)
ha revelado
que se han iniciado
procedimientos penales contra 37 actores identificados. Las autoridades alemanas publicarán a 18 de ellos en la lista de los más buscados de la UE. El Departamento de Justicia ha revelado los cargos contra 16 personas
acusadas de participar en el desarrollo e implementación de DanaBot. La lista
incluye a Aleksandr Stepanov, de 39 años, alias «JimmBee», y Artem
Aleksandrovich Kalinkin, de 34 años, alias «Onix», ambos de Novosibirsk,
Rusia.
Ambos permanecen prófugos, pero de ser procesados en Estados Unidos,
Kalinkin podría enfrentar hasta 72 años de prisión por los cargos presentados
en su contra, mientras que Stepanov podría enfrentar hasta cinco años de
prisión. Brian Krebs señaló
que Kalinkin es ingeniero informático en el gigante energético estatal ruso
Gazprom.
Danabot es (¿era?) una operación MaaS a gran escala que distribuye una amplia
gama de herramientas a disposición de los afiliados del malware. La
investigación de este infostealer, que comenzó en 2018, dio como resultado el
análisis del conjunto de herramientas de Danabot.
Los esfuerzos de las autoridades y de varias empresas de ciberseguridad,
llevaron a la interrupción de la infraestructura del malware. Queda por ver si
Danabot podrá recuperarse del desmantelamiento. Sin embargo, el golpe se
dejará sentir con toda seguridad, ya que las fuerzas de seguridad consiguieron
desenmascarar a varios individuos implicados en las operaciones del malware.