Siempre nos alegra terminar la semana con noticias positivas. Una operación policial denominada «Operation Endgame» acaba de lograr un gran éxito contra la operación SocGholish (también conocida como FakeUpdates), que llevaba mucho tiempo en marcha.
SocGholish es un marco de malware que lleva activo al menos desde 2017 y que destaca por aprovechar sitios web legítimos de WordPress que han sido pirateados para mostrar a los visitantes falsas actualizaciones de navegadores y programas. Cuando un usuario hace clic en uno de estos convincentes mensajes de «actualizar ahora», el malware abre una puerta trasera en el sistema, lo que proporciona a los atacantes un acceso inicial que suele utilizarse para desplegar ransomware y otro software malicioso. La operación se ha relacionado con el grupo ciberdelictivo ruso Evil Corp, anteriormente vinculado al malware Zeus y Dridex, así como a importantes esquemas de ransomware y blanqueo de dinero.
Esta semana, la policía neerlandesa y la Fiscalía General, en colaboración con la Real Policía Montada de Canadá, el FBI, la Oficina Federal de Investigación Criminal de Alemania, Europol y Eurojust, han asestado un golpe directo a la infraestructura de SocGholish. En el marco de la Operación Endgame, han desmantelado 106 servidores y dominios y han limpiado 14 971 sitios web de WordPress infectados que redirigían de forma encubierta a los visitantes hacia la trampa de FakeUpdates.
Los investigadores afirman haber encontrado credenciales de inicio de sesión expuestas de unos 1,4 millones de sitios de WordPress. Para comprobar si alguna de las contraseñas asociadas a tu dirección de correo electrónico se ha visto expuesta en una filtración, utiliza Malwarebytes Digital Footprint Scanner.
Las autoridades neerlandesas también utilizaron sus capacidades de piratería informática para eliminar puertas traseras y malware de los sitios web afectados y notificaron a los propietarios de dichos sitios, instándoles a actualizar WordPress, habilitar la autenticación multifactorial (MFA) y cambiar las contraseñas.
Las autoridades afirman que entre los sitios web infectados se encontraban negocios de uso cotidiano, como restaurantes y talleres de coches, lo que significa que los visitantes podrían haber estado expuestos a malware simplemente al navegar por páginas web locales de confianza.
En este caso, la magnitud y la intención son fundamentales. «Endgame» se presenta como la mayor operación internacional contra el ransomware y la ciberdelincuencia hasta la fecha, y esta desarticulación de SocGholish desbarata específicamente una cadena de infección clave utilizada por múltiples grupos de ransomware. Al romper el vínculo entre miles de sitios web de uso cotidiano y un sofisticado ecosistema de «malware como servicio», las fuerzas del orden han reducido el número de futuras víctimas y han incrementado el coste operativo de Evil Corp y sus socios.
Así que, ahora que se acerca el fin de semana, aquí tienes una noticia sobre malware en la que los buenos realmente contraatacaron y les hicieron pagar caro.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
