EUROPOL a declanșat „Endgame”, cea mai mare operațiune împotriva botnet-urilor

Publicat: 01 iun. 2024, 12:31, de Alexandru Bogdan Grigoriev, în ACTUALITATE , ? cititori
EUROPOL a declanșat „Endgame”, cea mai mare operațiune împotriva botnet-urilor
Foto: Europol

Operațiunea internațională „Endgame”, coordonată de Europol, a închis dropper-uri, inclusiv IcedID, SystemBC, Pikabot, Smokeloader și Bumblebee, ducând la patru arestări și eliminarea a peste 100 de servere din întreaga lume.

Între 27 și 29 mai 2024, Operațiunea „Endgame”, coordonată de la sediul Europol, a vizat droppers, inclusiv IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee și Trickbot. Acțiunile s-au concentrat pe perturbarea serviciilor infracționale prin arestarea țintelor de mare valoare, distrugerea infrastructurilor criminale și înghețarea veniturilor ilegale.

Această abordare a avut un impact global asupra ecosistemului de implantare. Malware-ul, a cărui infrastructură a fost dezafectată în timpul zilelor de acțiune, a facilitat atacurile cu ransomware și alte programe rău intenționate.

În urma acțiunii, opt fugari legați de aceste activități criminale, căutați de Germania, au fost adăugați pe lista celor mai căutați din Europa. Indivizii sunt căutați pentru implicarea lor în grave infracțiuni cibernetice.

„Endgame” pune frână la ransomware

Aceasta este cea mai mare operațiune întreprinsă vreodată împotriva botnet-urilor, care joacă un rol major în implementarea ransomware-ului. Operațiunea, inițiată și condusă de Franța, Germania și Țările de Jos, a fost susținută și de Eurojust și a implicat Danemarca, Regatul Unit și Statele Unite.

În plus, Armenia, Bulgaria, Lituania, Portugalia, România, Elveția și Ucraina au susținut operațiunea prin diferite acțiuni, cum ar fi arestări, intervievarea suspecților, percheziții și confiscări sau ridicări de servere și domenii. Operațiunea a fost susținută și de o serie de parteneri privați la nivel național și internațional, inclusiv Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIDD, abuz. ch şi Zscaler.

 

Acțiunile coordonate au condus la patru arestări (una în Armenia și trei în Ucraina) și 16 percheziții (una în Armenia, una în Țările de Jos, trei în Portugalia și 11 în Ucraina). Peste 100 de servere au fost dezafectate sau întrerupte în Bulgaria, Canada, Germania, Lituania, Olanda, România, Elveția, Regatul Unit, Statele Unite și Ucraina, iar peste 2.000 de domenii au fost puse sub controlul forțelor de ordine

În urma investigațiilor de până s-a descoperit că unul dintre principalii suspecți a câștigat cel puțin 69 de milioane de euro, în criptomonede, prin închirierea de site-uri de infrastructură criminală pentru a implementa ransomware. Tranzacțiile suspectului sunt monitorizate în mod constant și a fost deja obținută permisiunea legală de a sechestra aceste bunuri la acțiunile viitoare.

Ce este un picurător și cum funcționează?

Dropperurile (picurătoarele) de malware sunt un tip de software rău intenționat, concepute pentru a instala alte programe malware pe un sistem țintă. Sunt utilizate în prima etapă a unui atac de malware, în timpul căreia permit criminalilor să ocolească măsurile de securitate și să implementeze programe suplimentare dăunătoare, cum ar fi viruși, ransomware, sau spyware. Dropperurile în sine nu cauzează de obicei daune directe, dar sunt esențiale pentru accesarea și implementarea software-urilor dăunătoare pe sistemele afectate.

SystemBC a facilitat comunicarea anonimă între un sistem infectat și un server de comandă și control.

Bumblebee, distribuit în principal prin campanii de phishing sau site-uri web compromise, a fost conceput pentru a permite livrarea și execuția de încărcături utile suplimentare pe sistemele compromise.

SmokeLoader a fost folosit în principal ca program de descărcare pentru a instala software-uri rău intenționate suplimentare pe sistemele pe care se infectează.

IcedID (cunoscut și ca BokBot), inițial catalogat ca troian bancar, a fost dezvoltat în continuare pentru a servi și altor infracțiuni cibernetice, pe lângă furtul de date financiare.

Pikabot este un troian folosit pentru a obține accesul inițial la computerele infectate, ceea ce permite implementarea de ransomware, preluarea computerelor de la distanță și furtul de date. Toate acestea sunt acum folosite pentru a implementa ransomware și sunt văzute ca principala amenințare în lanțul de infecție.

Fazele de funcționare a picurătoarelor

Infiltrare: Droppers pot intra în sisteme prin diverse canale, cum ar fi atașamente de e-mail, site-uri web compromise, pot fi, de asemenea, combinate cu software legitim.

Execuție: Odată executat, dropper-ul instalează programul malware suplimentar pe computerul victimei. Această instalare are loc adesea fără știrea sau acordul utilizatorului.

Evaziune: picurătoarele sunt proiectate pentru a evita detectarea de către software-ul de securitate. Aceștia pot folosi metode precum obscurcarea codului lor, rularea în memorie fără a salva pe disc sau uzurparea identității proceselor software legitime.

Livrarea încărcăturii utile: după implementarea programelor malware suplimentare, dropper-ul poate fie să rămână inactiv, fie să se elimine singur pentru a evita detectarea, lăsând sarcina utilă să efectueze activitățile rău intenționate.

Endgame nu se oprește, încă!

Operațiunea Endgame nu se încheie, deocamdată. Noi acțiuni vor fi anunțate pe site-ul Operation Endgame. În plus, suspecții implicați în aceste și alte rețele bot, care nu au fost încă arestați, vor fi chemați să răspundă pentru acțiunile lor.

Europol a facilitat schimbul de informații și a oferit anchetei sprijin analitic, de urmărire criptografică și criminalistică. Pentru a sprijini coordonarea operațiunii, Europol a organizat peste 50 de apeluri de coordonare cu toate țările, precum și un sprint operațional la sediul său.

 

Peste 20 de ofițeri specializați din Danemarca, Franța, Germania și Statele Unite au susținut coordonarea acțiunilor operaționale de la postul de comandă de la Europol. Sute de alți din diferite țări au fost implicați în acțiuni. În plus, un post de comandă virtual a permis coordonarea în timp real între ofițerii armeni, francezi, portughezi și ucraineni dislocați la fața locului în timpul activităților de teren.

Postul de comandă de la Europol a facilitat schimbul de informații legate de serverele confiscate, suspecți și transferul datelor confiscate. Au fost înființate posturi locale de comandă și în Germania, Țările de Jos, Portugalia, Statele Unite și Ucraina. Eurojust a sprijinit acțiunea prin înființarea unui centru de coordonare la sediul său, pentru a facilita cooperarea judiciară între toate autoritățile implicate. Eurojust a ajutat, de asemenea, la executarea mandatelor europene de arestare și a ordinelor europene de investigare.