Casi 15.000 sitios web basados en WordPress han sido limpiados de malware y más de 100 servidores han caído en una operación global contra el grupo ruso Evil Corp.
Operación Endgame: un zarpazo coordinado a la cadena de infección
La acción, ejecutada el 18 de junio por unidades de cibercrimen de Países Bajos (NHCTU), Canadá (RCMP), Estados Unidos (FBI) y Alemania (BKA), se enmarca dentro de la Operación Endgame, una iniciativa de largo alcance que ya ha tumbado otras grandes botnets como Rhadamanthys y VenomRAT. ‘Con estas acciones privamos a los cibercriminales del acceso a sistemas infectados, evitando daños mayores a ciudadanos, empresas e infraestructuras críticas’, declaró Maikel Rollman, de la Unidad Nacional de Crímenes de Alta Tecnología de Países Bajos.
SocGholish: el malware que se disfrazaba de actualización del navegador
El malware, conocido también como FakeUpdates, lleva activo desde al menos 2017 y se especializaba en secuestrar sitios legítimos —principalmente WordPress— para redirigir a los visitantes a falsas páginas de actualización del navegador. Cuando la víctima instalaba el falso parche, el malware abría una puerta trasera (backdoor) que entregaba a los atacantes acceso completo al sistema.
La cadena de infección no terminaba ahí: SocGholish ha servido como cargador de otras familias de malware como Dridex, Doppelpaymer, Empire, Koadic y Azorult, lo que convertía cada sitio comprometido en un nodo de una red de distribución de múltiples amenazas. Las fuerzas de seguridad han recomendado a los propietarios de los sitios afectados que cambien sus credenciales, activen la autenticación multifactor y actualicen sus instalaciones de WordPress.
Desarticular 106 servidores y limpiar 15.000 sitios no es un parche temporal: es un mensaje a Moscú de que la comunidad internacional está elevando el coste del cibercrimen protegido por el Estado.
Dossier Moncloa: Ojos en la Sombra
El vector de amenaza es claro: un ciberataque de tipo malware downloader distribuido desde sitios web legítimos comprometidos. La operación de limpieza y derribo de servidores supone un golpe táctico de gran alcance, pero no neutraliza por completo al grupo ruso Evil Corp, cuyos líderes residen en Moscú y gozan de la protección que el Kremlin otorga a sus ciberdelincuentes. Le recuerdo que el Departamento del Tesoro de los Estados Unidos sancionó a Evil Corp en 2019, señalando a su fundador, Maksim Yakubets, como responsable de pérdidas que superan los 100 millones de dólares, y ofreciendo una recompensa de 5 millones por su captura. Hasta hoy, ningún miembro del grupo ha sido extraditado.
Sin embargo tras la operación, todo apunta a que Evil Corp se reagrupará con nuevas infraestructuras. Los atacantes lograron infiltrarse en en miles de sitios durante años, lo que evidencia una grave negligencia en la administración de los CMS. Verá usted que el verdadero enemigo no es solo el malware, sino la dejadez de quienes no actualizan sus sitios. Ya advertí en El quinto elemento que el próximo 11S empezará con un clic; Evil Corp materializa esa premonición a pequeña escala cada día.
Las agencias atacantes son Evil Corp, grupo con sede en Moscú y presuntos vínculos con el FSB, aunque no probados fehacientemente. Las defensoras, Europol, Eurojust y las policías de Países Bajos, Canadá, Estados Unidos y Alemania, han coordinado la Operación Endgame con un nivel de colaboración que recuerda a los mejores momentos de Five Eyes. Los terceros interesados incluyen a los propietarios de los 14.971 sitios infectados, las empresas de ciberseguridad que llevaban años rastreando a SocGholish y, en la sombra, los servicios de inteligencia occidentales que obtienen así información fresca sobre las tácticas del cibercrimen ruso. El nivel de clasificación estimado de los detalles técnicos compartidos es Sin Clasificar pero Sensible: suficientes para mitigar el daño pero no para exponer las capacidades completas de infiltración.
La operación es un hito, pero el precedente histórico no es halagüeño. El pasado mes de noviembre, la misma Operación Endgame tumbó más de 1.000 servidores de las botnets Rhadamanthys, VenomRAT y Elysium; sin embargo, el ecosistema del cibercrimen ruso se reconstruye con la misma rapidez con la que se derriba. La diferencia ahora es la escala: 15.000 sitios limpios suponen una pérdida de activos considerable, pero los cerebros siguen libres en Rusia. A eso se suma que WordPress, que alimenta más del 40% de la web, se ha convertido en un vector recurrente. Si usted gestiona uno de estos sitios, compruebe ahora mismo sus cuentas de administrador: puede que un doble acceso ‘de cortesía’ todavía esté abierto.
