Los ‘droppers’ son la jugada maestra de los ciberataques mundiales. Jérôme Saiz, experto en ciberseguridad y fundador de la empresa OPFOR Intelligence, los describe como softwares cuya función principal es “abrir la puerta a otros programas maliciosos”.
“No es él quien realiza la acción maliciosa“, precisa. Pequeño, ligero, diseñado para pasar desapercibido y engañar a los antivirus, este software puede llegar al ordenador de un usuario que hace clic en una publicidad maliciosa, navega sin darse cuenta por un sitio malicioso o descarga una aplicación legítima que lo esconde.
Los “droppers” también pueden ser depositados en un ordenador a través de correos electrónicos con enlaces infectados o archivos adjuntos de Word y PDF, indica la agencia judicial europea Eurojust. “Es en el momento de la instalación del software cuando se desencadena la carga viral” y se “abre la muñeca rusa”, detalla Jean-François Beuze, presidente de la empresa de ciberseguridad Sifaris.
EL FUNCIONAMIENTO DE LOS ‘DROPPERS’
Estos programas, poco conocidos por el gran público, facilitan los ciberataques a empresas, autoridades e instituciones nacionales, ocasionando daños por cientos de millones de euros. Una vez instalado, el “dropper abre el campo de posibilidades a los piratas”, subraya Jérôme Saiz.
Puede ser autónomo, con sus propios programas maliciosos incorporados, o puede buscar programas maliciosos en internet, facilitar su instalación y activación.
Puede tratarse de un “ransomware” o programa chantajeador, que explota vulnerabilidades de seguridad de una empresa o individuo para cifrar y bloquear sus sistemas informáticos, exigiendo un rescate para desbloquearlos.
Pero algunos “droppers” son capaces incluso de utilizar el ordenador infectado para “minar” bitcoins, es decir, validar transacciones en criptomoneda, sin que el propietario lo sepa. O descifrar contraseñas.
En el caso de la operación de Europol, los “droppers” desactivados estaban asociados a al menos 15 grupos de ransomware, algunos de los cuales se han utilizado para extorsionar a hospitales y centros de salud en Estados Unidos durante la pandemia de covid-19.
“Los atacantes hacen esto porque les permite, con un solo y pequeño software, instalar de manera muy modular y granular lo que quieren”, continúa. Cumplida su misión, el “dropper” puede “eliminarse totalmente de tu ordenador”, señala Jean-François Beuze.
LA RED DE ‘DROPPERS’
Las grandes empresas tienen sistemas de detección de actividades maliciosas bastante avanzados, especialmente con inteligencia artificial, que les permiten protegerse contra los “droppers”. Pero es mucho más complicado para las pequeñas empresas, señala Beuze.
Ambos expertos celebran así la operación de Europol que ha permitido desestabilizar un ecosistema criminal difícil de abordar. “La red de droppers es una parte de la infraestructura que facilita las operaciones de muchos grupos de cibercriminales”, destaca Jérôme Saiz.
Al atacar esta herramienta, las fuerzas del orden “crean un efecto de palanca” que “corta las alas a los atacantes con la máxima flexibilidad”, concluye.
OPERACIÓN DE EUROPOL DESACTIVA CIEN SERVIDORES DEDICADOS A LA CIBERPIRATERÍA
Entre el 27 y el 29 de mayo de 2024, la Operación Endgame, coordinada desde la sede de Europol, se dirigió a los atacantes IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee y Trickbot. Las acciones se centraron en interrumpir los servicios criminales mediante el arresto de objetivos de alto valor, el derribo de las infraestructuras criminales y la congelación de los ingresos ilegales. Este enfoque tuvo un impacto global en el ecosistema de los atacantes.
Europol anunció la detención de cuatro personas en una gran operación internacional contra los programas informáticos malignos que permitió tumbar o interrumpir más de cien servidores. El operativo Endgame (Fin del juego) tuvo “un impacto mundial en el ecosistema de ‘droppers'”, declaró Europol.
Esta es la operación más grande de la historia contra las botnets, que desempeñan un papel importante en el despliegue de ransomware. La operación, iniciada y dirigida por Francia, Alemania y los Países Bajos, también contó con el apoyo de Eurojust e involucró a Dinamarca, el Reino Unido y los Estados Unidos. Además, Armenia, Bulgaria, Lituania, Portugal, Rumania, Suiza y Ucrania también apoyaron la operación con diferentes acciones, como arrestos, entrevistas a sospechosos, registros y incautaciones o derribos de servidores y dominios. N