El Departamento de Justicia de los Estados Unidos (DOJ) anunció el jueves las interrupciones de la infraestructura en línea relacionadas con Danabot (también conocido como Danatools) de que los cargos sellados contra 16 personas supuestamente están involucrados en el desarrollo y el despliegue de malware, lo que se dice que es administrado por una organización cibernética con sede en Rusia.
El malware infectó a más de 300,000 computadoras víctimas en todo el mundo, promoviendo fraude y ransomware, y dijo que causó al menos $ 50 millones en daños. Dos de los acusados, Alexander Stefanov (también conocido como Zimby), 39, y Artem Alexandrovich Kalinkin (también conocido como Onix), 34, los cuales son de Novosibirsk, Rusia, ahora son comunes.
Stepanov está acusado de conspiración, conspiración para cometer fraude al cable y fraude bancario, robo de identidad agravado, acceso no autorizado a computadoras protegidas, acceso no autorizado para obtener información, falla no autorizada de computadoras protegidas, espibuera y uso de comunicaciones interceptadas. Kalinkin está acusado de conspiración para obtener acceso no autorizado a una computadora para obtener información, obtener acceso no autorizado a una computadora y cometer fallas fraudulentas de manera fraudulenta en una computadora protegida.
Los cargos y acusaciones criminales revelados muestran que muchos de los acusados que cuentan Kalinkin han expuesto accidentalmente su identidad real después de infectar sus sistemas con malware.
«En algunos casos, dicha autoinfección parecía ser intencional para probar, analizar o mejorar el malware», decía la queja (PDF). «En otros casos, las infecciones parecían ser descuidadas. Uno de los riesgos de cometer un delito cibernético es que los delincuentes pueden infectar accidentalmente su propio malware».
«Las infecciones inadvertidas a menudo dan como resultado datos sensibles y comprometidos robados de la computadora de un actor por malware, y se almacenan en el servidor Danabot, incluidos los datos que ayudan a identificar a los miembros de la organización Danabot».
Si es declarado culpable, se espera que Kalinkin enfrente una sentencia máxima legal de 72 años en la prisión federal. Stefanov enfrentará una sentencia de cinco años. Al concurrente con la demanda, los esfuerzos de aplicación de la ley realizados como parte de la Operación Fin de la Operación han incautado los servidores de Comando y Control de Danabot (C2), incluidas docenas de servidores virtuales alojados en los EE. UU.
«El malware de Danabot utilizó una variedad de métodos para infectar computadoras víctimas, incluidos archivos adjuntos maliciosos y mensajes de correo electrónico de spam que contienen hipervínculos», dijo DoJ. «Las computadoras víctimas infectadas con el malware Danabot se han convertido en parte de una botnet (una red de computadoras comprometidas) que permite a los operadores y usuarios de Botnet controlar de forma remota las computadoras infectadas de manera coordinada».
Ejemplo típico de infraestructura de Danabot
Danabot opera bajo un esquema de malware como malware (MAAS), como el recientemente desmantelado Malware de Stealer Lumma, con los administradores que arrendan el acceso de «miles de dólares» al mes. El seguimiento de Scully Spider y Storm 1044 de Monica son herramientas multifuncionales en la línea de Emotet, Trickbot, Qakbot e IceDid, que sirven como artículos robados y ofrecen la siguiente carga de ransomware y más.
El malware modular con sede en Delphi está equipado para chupar datos de las computadoras víctimas, secuestro de sesiones bancarias, información del dispositivo, historial de navegación de usuarios, credenciales de cuentas almacenadas e información de billetera criptográfica. También le permite capturar el acceso remoto completo, las teclas de registro de registro y el video. Ha estado activo en Wild desde su debut cuando comenzó como un caballo de Troya del banco en mayo de 2018.
«Después de apuntar inicialmente a las víctimas en Ucrania, Polonia, Italia, Alemania, Austria y Australia, Danabot amplió su postura de orientación para incluir instituciones financieras con sede en Estados Unidos y Canadá en octubre de 2018», dijo. «La popularidad del malware ha aumentado debido a los desarrollos de módulos tempranos que admiten inyectores web basados en ZEUS, capacidades de información de información, registro de pulsación de teclas, grabación de pantalla y capacidades ocultas de computación de red virtual (HVNC)».
Según Black Lotus Labs y Team Cymru, Danabot emplea una infraestructura de comunicaciones escalonadas entre la víctima y el controlador Botnet, donde el tráfico C2 se proxena a través de dos o tres niveles de servidor antes de alcanzar el nivel final. Al menos 5-6 servidores de nivel 2 estaban activos en cualquier momento. La mayoría de las víctimas de Danabot se concentran en Brasil, México y Estados Unidos.
«Los operadores han demostrado su compromiso con la elaboración de la elaboración de la detección y el cambio en la defensa de la compañía, y las iteraciones posteriores a aislar C2 en etapa y ofuscando el seguimiento», dijo la compañía. «Durante este tiempo, hicieron que los bots sean más fáciles de usar gracias a los precios estructurados y la atención al cliente».
Número de campañas de Danabot observadas en los datos de amenazas de correo de PruebePoint de mayo de 2018 a abril de 2025
Los datos de telemetría recopilados por Proofpoint muestran que Danabot estaba «casi completamente ausente» del panorama de amenazas de correo electrónico entre julio de 2020 y junio de 2024, lo que indica que los actores de amenaza habían propagado malware a través de otros métodos, como las campañas de adicción y fraude de SEO.
El Departamento de Justicia dijo que los administradores de Danabot operaron una segunda versión de la Botnet, específicamente diseñada para atacar a las computadoras víctimas para entidades militares, diplomáticas, gubernamentales y relacionadas en América del Norte y Europa. Al presente en enero de 2021, esta variante está equipada con la capacidad de registrar todas las interacciones que ocurren en el dispositivo de víctima y enviar datos a otro servidor.
«Una amplia gama de malware como Danabot perjudica a cientos de miles de víctimas en todo el mundo, incluidas las sensibles organizaciones militares, diplomáticas y gubernamentales, causando millones de dólares», dijo Bill Essayri, abogado del Distrito Central de California.
Black Lotus Labs de Lumen agregó que Hacker News «confirmó que una capa de servicio dio a los compradores la capacidad de usar configuraciones privadas de C2 o usar sus propias botnets», y agregó que el tráfico es muy bajo. «En cuanto a si era un propósito de espionaje directo, probablemente sea junto con la forma en que notamos que muchos C2 tenían poco volumen de bot», dijo Chris Formosa. «Pero no hay evidencia de que definitivamente se usen únicamente para espías o específicamente atacados al gobierno o algo así».
Diagrama de alto nivel de arquitectura C2 de múltiples capas
El DOJ también elogió a varias compañías del sector privado, Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru y ZScaler, para proporcionar un «apoyo valioso».
Algunos de los aspectos notables de Danabot, editados de varios informes, se pueden encontrar a continuación –
Subbotnet 5 de Danabot recibe un comando para descargar un ejecutable con sede en Delphi y lleva a cabo un ataque de distribución Deny (DDOS) basado en HTTP para lanzar un ataque contra el Consejo de Seguridad y Defensa Nacional de Ucrania (NSDC) el 25 de marzo de 2022, poco después de una residencia de Danabis de 25 días en Danabos. Los operadores de Danabot, que probablemente se utilizarán con fines de espionaje para actividades de recolección de inteligencia adicionales en nombre de los intereses del gobierno ruso, les han estado proporcionando regularmente desde 2022 para concentrarse en evitar la defensa. Colecciones, «servidores en línea» que administran la funcionalidad de las ratas, «clientes» para registros recopilados y gestión de bot, y «servidores» que manejan la generación de BOT, el embalaje y las comunicaciones C2 Danabots se utilizan en ataques de espía específicos contra funcionarios del gobierno en el Medio Oriente y Europa del Este. Al establecer y administrar su propia botnet utilizando servidores privados, los desarrolladores de Danabot se asociarán con autores de varios criptomonitadores de malware y cargadores, como Matanbuchus, para ofrecer precios especiales para los paquetes de distribución de Danabot, mantener 150 servidores activos de nivel 1 C2 por día, y traer aproximadamente 1,000 o más accidentes por día en 40 países.
Proofpoint, quien identificó y nombró a Danabot en mayo de 2018, dijo que la interrupción en la Operación Maas es una victoria para los defensores y afecta el panorama de amenazas de delitos cibernéticos.
«La confusión del delito cibernético y las acciones de aplicación de la ley no solo socavan la funcionalidad del malware, sino que también impone el costo de amenazar a los actores al obligarlos a cambiar las tácticas, causando desconfianza en el ecosistema criminal y hacer que los delincuentes piensen en encontrar otra carrera.
«Estos éxitos para los ciberdelincuentes solo ocurren cuando los equipos de TI comerciales y los proveedores de servicios de seguridad comparten ideas necesarias sobre las mayores amenazas para la sociedad e impactan a la mayoría de las personas en todo el mundo. La policía puede usarse para rastrear servidores, infraestructura y organizaciones criminales detrás de los ataques.
Características de Dana Bot anunciadas en el sitio de soporte
DOJ sella acusaciones contra los líderes de Qakbot
El desarrollo fue como una acusación sin sellar por el Departamento de Justicia contra Rustam Rafailevich Gallyamo, un residente de Moscú de 48 años, debido a un gran esfuerzo para desarrollar y mantener el malware Qakbot interrumpido en el negocio multinacional de agosto de 2023.
«Gallyamov ha desarrollado, desplegado y controlado malware Qakbot desde 2008», dijo el DOJ. «Desde 2019, Gallyamov ha infectado a miles de computadoras víctimas en todo el mundo para establecer una red o» botnet «de computadoras infectadas».
Después del derribo, el Departamento de Justicia reveló que Galyamov y sus conspiradores continuaron sus actividades criminales al obtener acceso no autorizado a la red de víctimas y al cambiar a otras tácticas como ataques de «bomba de spam» para desplegar familias de ransomware como Black Busta y Sabotes. Los documentos judiciales condenaron recientemente a grupos de delitos electrónicos involucrados en estos métodos en enero de 2025.
«La red BOT de Gallyamov fue paralizada por talentosos hombres y mujeres del FBI en 2023, pero desplegó una alternativa para hacer que el malware esté a disposición de los ciberigentes criminales que realizan ataques de ransomware contra víctimas inocentes de todo el mundo».
Source link
