Responsables de Europol anunciaron ayer que varias fuerzas policiales de toda Europa realizaron una operación conjunta que ha conseguido detener a los responsables de un servicio de ofuscación de códigos maliciosos y a algunos de sus clientes. Estas detenciones son el resultado de la “Operación Neuland” que empezó en abril de 2016.
Cronología de las detenciones
Según el comunicado lanzado ayer por Europol, entre el 5 y el 9 de junio se procedió a arrestar a 6 sospechosos y a entrevistar a otros 36 en una operación coordinada internacionalmente. Entre los detenidos se encuentran los desarrolladores y algunos usuarios de servicios de una plataforma destinada a ofuscar malware para evadir las detecciones de los antivirus, así como también de un servicio online similar a VirusTotal donde los delincuentes podían evaluar el nivel de detección de sus creaciones por parte de los fabricantes de soluciones de seguridad, pero sin compartir sus muestras para evitar la pronta detección.
Esta operación bautizada como Neuland fue liderada por la organización alemana Kriminalinspektion Mayen con el soporte del Centro Europeo del Cibercrimen de Europol (EC3) y el grupo especializado en ciberinvestigaciones del propio EC3, conocido como J-CAT.
La operación se dividió en dos fases, llevando a cabo la primera el pasado 5 de abril de 2016 y que tuvo como objetivo detener a los dos sospechosos responsables del servicio de ofuscación de malware, así como también a dos usuarios alemanes que utilizaban este servicio y sus herramientas.
La segunda parte de la operación se llevó a cabo del 5 al 9 de junio de este año y sus objetivos en esta ocasión fueron los usuarios internacionales de estos servicios delictivos. En la operación se involucraron varios países, entre los que se encuentran Chipre, Italia, Holanda, Noruega y el Reino Unido, obteniendo la detención de 6 sospechosos y entrevistas a otras 36 personas en 20 registros realizados que también consiguieron obtener un elevado número de dispositivos.
Una tendencia en aumento
Esta operación confirma un aumento del modelo criminal que se encarga de ofrecer servicios para que otros delincuentes puedan realizar sus delitos. Además, la edad media de los delincuentes detenidos en esta operación ronda los 23 años, algo preocupante, puesto que demuestra que estos delincuentes se ven atraídos por el dinero fácil a una edad temprana sin pensar en las consecuencias de sus acciones.
En lo que respecta a los servicios delictivos que han sido desmantelados, los ofuscadores de código usados por los delincuentes se encargaban de dificultar el análisis del malware por parte de las soluciones de seguridad. Debemos recalcar que un ofuscador de código no es una herramienta maliciosa por sí misma, puesto que muchos desarrolladores de aplicaciones las utilizan, por ejemplo, para evitar que alguien copie código sin su permiso. No obstante, en este caso la finalidad de su uso era puramente delictiva.
En lo que respecta a la plataforma de análisis antivirus desarrollada por los delincuentes, esta era utilizada por otros criminales para probar sus amenazas contra las soluciones de seguridad más usadas del mercado y tratar de evadir su detección. Este tipo de plataformas llevan años siendo utilizadas por los ciberdelincuentes y, si bien la ofuscación empleada puede llegar a evadir un análisis estático clásico, su efectividad baja notablemente cuando se enfrentan a las múltiples capas de análisis dinámico con las que cuentan los antivirus actuales.
Conclusión
Este tipo de operaciones policiales demuestran que existe una industria del cibercrimen bien estructurada desde hace tiempo, donde cada delincuente juega su parte. La profesionalización de los criminales ha hecho que los creadores de código malicioso solo sean una parte de este complejo engranaje, y por eso cualquier golpe a esta infraestructura debe ser bien recibido por todos los que queremos usar la tecnología de forma segura.