Una operación internacional que involucró a las fuerzas del orden de 19 países, coordinada por la Europol, alteró “gravemente” a LabHost, una de las plataformas de phishing como servicio más grandes del mundo.
La operación que tuvo un año de duración comprometió la infraestructura de LabHost y dio lugar a la detención de 37 sospechosos, entre ellos cuatro personas en el Reino Unido vinculadas al funcionamiento del sitio, incluido el desarrollador original del servicio, informó la Europol en un comunicado.
La agencia destacó que la plataforma, anteriormente disponible en la web abierta, fue cerrada.
Entre el pasado domingo 14 de abril y el miércoles 17 de abril se registraron un total de 70 direcciones en todo el mundo. La investigación descubrió al menos 40,000 dominios de phishing vinculados a LabHost, que contaba con unos 10,000 usuarios a nivel mundial.
El ciberdelito como servicio se ha convertido en un modelo de negocio de rápido crecimiento en el panorama criminal mediante el cual los actores de amenazas alquilan o venden herramientas, experiencia o servicios a otros ciberdelincuentes para cometer sus ataques.
Aunque este modelo está bien establecido entre los grupos de ransomware, también se ha adoptado en otros aspectos del cibercrimen, como los ataques de phishing.
¿Cómo operaba LabHost?
LabHost se había convertido en una herramienta importante para los ciberdelincuentes de todo el mundo. Por una suscripción mensual, la plataforma proporcionaba kits de phishing, infraestructura para alojar páginas, funcionalidad interactiva para atraer directamente a las víctimas y servicios de descripción general de la campaña.
Con una tarifa mensual promedio de $249 dólares, la plataforma entregaba una gama de servicios ilícitos que eran personalizables y podían implementarse con unos pocos clics. Tenía un menú de más de 170 sitios web falsos que daban páginas de phishing convincentes para que sus usuarios pudieran elegir.
Dependiendo de la suscripción, los delincuentes recibían una gama cada vez mayor de objetivos de parte de instituciones financieras, servicios de entrega postal y proveedores de servicios de telecomunicaciones, entre otros.
Según la Europol, lo que hizo que LabHost fuera particularmente destructivo fue su herramienta integrada de gestión de campañas llamada LabRat, que permitió a quienes implementaban los ataques monitorearlos y controlarlos en tiempo real.
LabRat fue diseñado para capturar credenciales y códigos de autenticación de dos factores, lo que permite a los delincuentes eludir las medidas de seguridad mejoradas.
Una coordinación internacional
La Europol señaló que una gran cantidad de datos recopilados a lo largo de la investigación se encuentran ahora en posesión de las autoridades, para que sean utilizados a fin de respaldar las actividades operativas internacionales en curso centradas en atacar a los usuarios malintencionados de esta plataforma de phishing.
La investigación internacional fue dirigida por la Policía Metropolitana de Londres del Reino Unido, con el apoyo del Centro Europeo de Ciberdelincuencia (EC3) de Europol y el Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) alojado en su sede.
Autoridades de Australia, Austria, Bélgica, Canadá, Estados Unidos, Estonia, Finlandia, Irlanda, Nueva Zelanda, Lituania, Malta, Países Bajos, Polonia, Portugal, Reino Unido, República Checa, Rumania y Suecia participaron en la investigación.
Europol apoyó este caso desde septiembre de 2023. Se organizó un sprint operativo en su sede con todos los países involucrados para que los investigadores nacionales pudieran identificar y desarrollar información sobre los usuarios y víctimas en sus propios países.
Durante la fase de acción, un especialista de Europol apoyó a la Policía Nacional Holandesa en sus acciones coercitivas.