{"id":1731489,"date":"2025-05-23T10:09:56","date_gmt":"2025-05-23T10:09:56","guid":{"rendered":"https:\/\/teknomers.com\/es\/ee-uu-desmantula-la-red-de-malware-danabot-cobra-16-en-la-operacion-global-de-delitos-ciberneticos-de-50-millones\/"},"modified":"2025-05-23T10:10:01","modified_gmt":"2025-05-23T10:10:01","slug":"ee-uu-desmantula-la-red-de-malware-danabot-cobra-16-en-la-operacion-global-de-delitos-ciberneticos-de-50-millones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ee-uu-desmantula-la-red-de-malware-danabot-cobra-16-en-la-operacion-global-de-delitos-ciberneticos-de-50-millones\/","title":{"rendered":"EE. UU. Desmantula la red de malware Danabot, cobra 16 en la operaci\u00f3n global de delitos cibern\u00e9ticos de $ 50 millones"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

El Departamento de Justicia de los Estados Unidos (DOJ) el jueves anunciado<\/a> la interrupci\u00f3n de la infraestructura en l\u00ednea asociada con Danabot <\/b>(tambi\u00e9n conocido como Danatools) y cargos revelados contra 16 individuos por su presunta participaci\u00f3n en el desarrollo y despliegue del malware, que seg\u00fan fue controlada por una organizaci\u00f3n de delitos cibern\u00e9tico con sede en Rusia.<\/p>\n

El DOJ dijo que el malware infect\u00f3 a m\u00e1s de 300,000 computadoras v\u00edctimas en todo el mundo, facilit\u00f3 el fraude y el ransomware, y caus\u00f3 al menos $ 50 millones en da\u00f1os. Dos de los acusados, Aleksandr Stepanov (tambi\u00e9n conocido como Jimmbee), de 39 a\u00f1os, y Artem Aleksandrovich Kalinkin (tambi\u00e9n conocido como Onix), 34, ambos de Novosibirsk, Rusia, est\u00e1n actualmente en libertad.<\/p>\n

Stepanov ha sido acusado de conspiraci\u00f3n, conspiraci\u00f3n para cometer fraude al cable y fraude bancario, robo de identidad agravado, acceso no autorizado a una computadora protegida para obtener informaci\u00f3n, deterioro no autorizado de una computadora protegida, intervenci\u00f3n de contabilidad y uso de una comunicaci\u00f3n interceptada. Kalinkin ha sido acusado de conspiraci\u00f3n para obtener acceso no autorizado a una computadora para obtener informaci\u00f3n, para obtener acceso no autorizado a una computadora para defraudar y cometer un deterioro no autorizado de una computadora protegida.<\/p>\n

La denuncia penal y la acusaci\u00f3n criminal no selves muestran que muchos de los acusados, contando kalinkin, expusieron sus identidades de la vida real despu\u00e9s de infectar accidentalmente sus propios sistemas con el malware.<\/p>\n

“En algunos casos, tales autoinfecciones parec\u00edan hacerse deliberadamente para probar, analizar o mejorar el malware”, el queja<\/a> [PDF] leer. “En otros casos, las infecciones parec\u00edan ser inadvertidas, uno de los peligros de cometer delitos cibern\u00e9ticos es que los delincuentes a veces se infectan con su propio malware por error”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Las infecciones inadvertidas a menudo dieron como resultado que los datos del actor se roben de datos confidenciales y comprometidos a los servidores de Danabot, incluidos los datos que ayudaron a identificar a los miembros de la organizaci\u00f3n Danabot”.<\/p>\n

Si es declarado culpable, se espera que Kalinkin enfrente una sentencia m\u00e1xima legal de 72 a\u00f1os en la prisi\u00f3n federal. Stepanov enfrentar\u00eda un plazo de c\u00e1rcel de cinco a\u00f1os. Al mismo tiempo que la acci\u00f3n, el esfuerzo de aplicaci\u00f3n de la ley, se llev\u00f3 a cabo como parte de Operaci\u00f3n final<\/a>vio los servidores de comando y control de Danabot (C2) incautados, incluidas docenas de servidores virtuales alojados en los Estados Unidos.<\/p>\n

“El malware de Danabot utiliz\u00f3 una variedad de m\u00e9todos para infectar las computadoras v\u00edctimas, incluidos los mensajes de correo electr\u00f3nico de spam que contienen archivos adjuntos maliciosos o hiperv\u00ednculos”, dijo el Departamento de Justicia. “Las computadoras v\u00edctimas infectadas con el malware Danabot se convirtieron en parte de una botnet (una red de computadoras comprometidas), lo que permite a los operadores y usuarios de Botnet controlar de forma remota las computadoras infectadas de manera coordinada”.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Ejemplo de infraestructura t\u00edpica de Danabot<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Danabot, como el recientemente desmantelado Malware Lumma Stealer, opera bajo un esquema de malware como servicio (MAAS), con los administradores que arrendan el acceso a partir de $ 500 a “varios miles de d\u00f3lares” al mes. Seguido bajo los apodos Scully Spider y Storm-1044, es una herramienta multifuncional en la l\u00ednea de Emotet, Trickbot, Qakbot e IceDid que es capaz de actuar como robador y un vector de entrega para cargas \u00fatiles de la pr\u00f3xima etapa, como el ransomware.<\/p>\n

El malware modular basado en Delphi est\u00e1 equipado para sifones de las computadoras v\u00edctimas, las sesiones de banca de secuestro y la informaci\u00f3n del dispositivo de robo, los historiales de navegaci\u00f3n de los usuarios, las credenciales de cuentas almacenadas e informaci\u00f3n de billetera de moneda virtual. Tambi\u00e9n puede proporcionar acceso remoto completo, teclas de registro y videos de captura. Ha sido activo en la naturaleza desde su Debut en mayo de 2018<\/a>cuando comenz\u00f3 como un troyano bancario.<\/p>\n

“Danabot inicialmente atac\u00f3 a las v\u00edctimas en Ucrania, Polonia, Italia, Alemania, Austria y Australia antes de ampliar su postura de orientaci\u00f3n para incluir instituciones financieras con sede en Estados Unidos y Canad\u00e1 en octubre de 2018,” CrowdStrike dicho<\/a>. “La popularidad del malware creci\u00f3 debido a su desarrollo modular temprano que admite inyecciones web basadas en ZEUS, capacidades de robo de informaci\u00f3n, registro de pulsaci\u00f3n de tecla, grabaci\u00f3n de pantalla y funcionalidad de computaci\u00f3n de red virtual (HVNC) oculta”.<\/p>\n

Seg\u00fan Black Lotus Labs y Team Cymru, Danabot emplea una infraestructura de comunicaciones en capas entre una v\u00edctima y los controladores Botnet, en el que el tr\u00e1fico C2 se proxena a trav\u00e9s de dos o tres niveles de servidor antes de que alcance el nivel final. Al menos de cinco a seis servidores de nivel 2 estaban activos en un momento dado. La mayor\u00eda de las v\u00edctimas de Danabot se concentran en Brasil, M\u00e9xico y Estados Unidos.<\/p>\n

“Los operadores han demostrado su compromiso con su oficio, adaptado a la detecci\u00f3n y cambios en la defensa empresarial, y con iteraciones posteriores, aislando los C2 en niveles para ofuscar el seguimiento”, las compa\u00f1\u00edas “, las compa\u00f1\u00edas dicho<\/a>. “A lo largo de este tiempo, han hecho que el BOT sea m\u00e1s f\u00e1cil de usar con precios estructurados y atenci\u00f3n al cliente”.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
N\u00famero de campa\u00f1as de Danabot observadas en los datos de amenazas de correo electr\u00f3nico de PruebePoint de mayo de 2018 a abril de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Datos de telemetr\u00eda reunido<\/a> Por Proofpoint muestra que Danabot estaba “casi completamente ausente” del panorama de amenazas de correo electr\u00f3nico desde julio de 2020 hasta junio de 2024, lo que indica que los actores de amenaza propagaron el malware a trav\u00e9s de otros m\u00e9todos como el envenenamiento por SEO y las campa\u00f1as malvertidas.<\/p>\n

El Departamento de Justicia dijo que los administradores de Danabot operaron una segunda versi\u00f3n de la Botnet que fue especialmente dise\u00f1ada para atacar a las computadoras v\u00edctimas en entidades militares, diplom\u00e1ticas, gubernamentales y relacionadas en Am\u00e9rica del Norte y Europa. Esta variante, que emerge en enero de 2021, fue equipada con capacidades para registrar todas las interacciones que ocurren en un dispositivo de v\u00edctima y enviar los datos a un servidor diferente.<\/p>\n

“El malware generalizado como Danabot perjudica a cientos de miles de v\u00edctimas en todo el mundo, incluidas entidades militares, diplom\u00e1ticas y gubernamentales sensibles, y causa muchos millones de d\u00f3lares en p\u00e9rdidas”, dijo el Fiscal de los Estados Unidos, Bill Essayli para el Distrito Central de California.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Diagrama de alto nivel de arquitectura C2 de m\u00faltiples niveles<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

El Departamento de Justicia acredit\u00f3 adem\u00e1s a varias empresas del sector privado, Amazon, Crowdsstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru y ZScaler, por proporcionar “asistencia valiosa”.<\/p>\n

Algunos de los aspectos notables de Danabot, compilados de varios informes, est\u00e1n a continuaci\u00f3n –<\/p>\n