Desmantelada red de malware SocGholish en casi 15,000 sitios web infectados
Publicado el
Desmantelamiento de SocGholish
Recientemente, una operación internacional conocida como Endgame ha logrado un importante avance contra la operación SocGholish, también conocida como FakeUpdates. Este marco de malware ha estado activo desde al menos 2017 y se caracteriza por aprovechar sitios de WordPress legítimos que han sido hackeados para distribuir actualizaciones de software y navegador fraudulentas a los visitantes.
Cuando un usuario hace clic en uno de estos engañosos mensajes de "actualizar ahora", el malware abre una puerta trasera en el sistema, lo que permite a los atacantes acceder inicialmente al dispositivo, a menudo utilizado para desplegar ransomware y otro software malicioso. Se ha vinculado esta operación a Evil Corp, un grupo cibercriminal ruso previamente asociado con los malwares Zeus y Dridex, así como a importantes esquemas de ransomware y blanqueo de dinero.
Impacto de la operación
Las autoridades neerlandesas, en colaboración con el FBI, la Policía Federal Criminal de Alemania, Europol y Eurojust, han llevado a cabo una acción directa contra la infraestructura de SocGholish. Como parte de esta operación, se desmantelaron 106 servidores y dominios, y se limpiaron 14,971 sitios de WordPress que redirigían silenciosamente a los visitantes hacia el trampa de FakeUpdates.
Durante la investigación, se descubrieron credenciales de acceso expuestas de alrededor de 1.4 millones de sitios de WordPress. Para verificar si alguna contraseña asociada a una dirección de correo electrónico ha sido expuesta en una brecha, se recomienda utilizar el Malwarebytes Digital Footprint Scanner.
Las autoridades neerlandesas también hicieron uso de sus poderes de hacking para eliminar puertas traseras y malware de los sitios comprometidos, notificando a los propietarios afectados para que actualizaran WordPress, habilitaran la autenticación multifactor (MFA) y cambiaran sus contraseñas.
Amenaza a negocios locales
Los sitios infectados incluían negocios cotidianos, como restaurantes y talleres de coches, lo que significa que los visitantes podrían haber estado expuestos a malware simplemente al navegar por sitios web locales de confianza. La magnitud y la intención de esta operación son significativas. Endgame se presenta como la mayor operación internacional contra el ransomware y el cibercrimen hasta la fecha, y la eliminación de SocGholish interrumpe una cadena de infección clave utilizada por múltiples grupos de ransomware.
Al romper el vínculo entre miles de sitios web cotidianos y un sofisticado ecosistema de malware como servicio, las fuerzas del orden han reducido el número de futuras víctimas y aumentado los costos de operación para Evil Corp y sus asociados.
Conclusión
En conclusión, esta acción destaca cómo las medidas de seguridad cibernética pueden tener un impacto real en la lucha contra el cibercrimen. La operación Endgame no solo ha limpiado miles de sitios web, sino que también ha demostrado que se pueden tomar medidas efectivas para proteger a los usuarios de amenazas en línea. La ciberseguridad es una responsabilidad compartida, y es vital que los usuarios mantengan sus sistemas actualizados y a salvo de posibles vulnerabilidades.