Operacao internacional desmonta botnet SocGholish ligada ao Evil Corp e limpa 15 mil sites

Resumo: Uma operacao internacional liderada por Holanda, Canada, Estados Unidos e Alemanha desmontou parte central da botnet SocGholish, historicamente ligada ao grupo russo Evil Corp. Foram derrubados mais de 100 servidores e desinfetadas cerca de 15.000 paginas WordPress sequestradas para distribuir falsos avisos de atualizacao. A acao corta uma das principais portas de entrada para gangues de ransomware como LockBit, RansomHub e WastedLocker.

O que aconteceu

Autoridades dos quatro paises anunciaram nesta quinta-feira o desmantelamento de partes-chave da infraestrutura da botnet SocGholish, tambem conhecida como FakeUpdates. A operacao envolveu o sequestro de dominios e o desligamento de servidores utilizados para infectar visitantes de sites legitimos. Entre os comprometidos estavam paginas de pequenos negocios, como restaurantes e oficinas mecanicas, que serviam como ponte para a entrega de cargas maliciosas a vitimas finais.

A policia holandesa informou ter removido o malware e backdoors de milhares de instalacoes WordPress comprometidas, alem de notificar diretamente os proprietarios. O Federal Bureau of Investigation (FBI) acompanhou a acao do lado americano, enquanto a empresa de inteligencia em DNS Infoblox atuou no fornecimento de dados tecnicos sobre dominios usados pela rede criminosa. A Holanda tambem foi responsavel por mapear comportamentos de propagacao da botnet em sua infraestrutura nacional.

Em comunicado, Maikel Rollman, da Unidade Nacional Holandesa de Crimes de Alta Tecnologia, declarou que a operacao privou cibercriminosos do acesso a sistemas infectados, ajudando a evitar ataques futuros. “Isto marca o inicio de novas acoes contra o SocGholish”, completou.

Como o SocGholish funciona

Ativo desde 2017, o SocGholish se espalha por meio de avisos falsos de atualizacao de navegador ou software exibidos em sites legitimos. O visitante e enganado a executar o que parece ser um instalador rotineiro, mas que entrega na verdade um carregador (loader) controlado por operadores especializados. A partir dai, o acesso e revendido para outros grupos, configurando o modelo classico de access broker.

O malware estabelece um ponto de apoio inicial nos computadores das vitimas, coletivamente conhecido como botnet, e e entao usado por atores de ameaca para campanhas de ransomware e espionagem.

FBI Cyber Division

O SocGholish e historicamente atribuido ao Evil Corp, um dos grupos cibercriminosos mais notorios da Russia, sancionado pelos Estados Unidos em 2019 pelo desenvolvimento e distribuicao do banker Dridex, responsavel por prejuizos superiores a 100 milhoes de dolares no mundo. A Infoblox afirma que o SocGholish serviu como porta de entrada para grupos como DoppelPaymer, WastedLocker, Hades, LockBit e RansomHub, cobrindo basicamente toda a primeira onda do ransomware-as-a-service moderno.

Riscos para o ecossistema

• Sites WordPress sem atualizacao ou com plugins vulneraveis sao alvo preferencial para injecao de scripts FakeUpdates.
• Pequenos negocios com sites institucionais sem monitoramento se transformam em vetores involuntarios contra seus visitantes.
• Usuarios finais que confiam em pop-ups de atualizacao acabam servindo como pontes para infeccoes corporativas via VPN ou laptops de uso misto.
• Equipes de TI sem visibilidade do trafego HTTP que sai da rede demoram a detectar o handshake inicial com a infraestrutura C2 do loader.

Analise

A operacao desta semana e relevante por motivos que vao alem dos numeros. Primeiro, ela reforca uma tendencia que vem se consolidando em 2026: o foco do enforcement internacional esta mudando do ransomware em si para os habilitadores do ransomware, ou seja, os loaders, brokers de acesso e infraestruturas C2 que alimentam as gangues finais. Derrubar SocGholish atinge simultaneamente DoppelPaymer, RansomHub e LockBit, multiplicando o impacto da acao.

Em segundo lugar, a participacao da Holanda na desinfeccao de milhares de sites WordPress estabelece um precedente importante. Em vez de apenas notificar proprietarios, autoridades estao removendo proativamente backdoors instalados em terceiros, replicando o modelo ja visto em campanhas como Qakbot, Emotet e ALPHV. O efeito colateral positivo e a reducao do parque atacavel, mas o debate sobre os limites dessa intervencao tecnica devera ganhar fôlego nos proximos meses.

Por fim, a ligacao com o Evil Corp continua sendo um lembrete de que sancoes e indictments podem nao parar imediatamente uma operacao, mas elevam custos. O Evil Corp tem sido empurrado para reciclar marcas, fragmentar afiliados e migrar para esquemas de ransomware com nomes intercambiaveis. A queda de uma das suas espinhas dorsais nao significa fim do grupo, mas obriga reconstrucao, e cada reconstrucao gera ruido detectavel.

Recomendacoes praticas

• Bloqueie ou monitore execucao de instaladores baixados a partir de sites de terceiros sem assinatura conhecida.
• Implemente DNS filtering corporativo capaz de bloquear dominios recem-registrados (newly observed domains) usados em campanhas FakeUpdates.
• Mantenha WordPress, themes e plugins atualizados; remova plugins abandonados e habilite WAF gerenciado.
• Eduque colaboradores: avisos legitimos de atualizacao nao aparecem em sites de restaurantes ou paginas aleatorias.
• Para times de blue team: monitore execucoes suspeitas de wscript, mshta e powershell originadas por navegadores.
• Para administradores WordPress: faca audits periodicos de arquivos modificados em /wp-content/themes/ e verifique chamadas externas em functions.php.

Fonte: The Record