Operațiunea internațională a închis dropperele, inclusiv IcedID, SystemBC, Pikabot, Smokeloader și Bumblebee, ducând la patru arestări și dezafectarea a peste 100 de servere la nivel mondial.

Între 27 și 29 mai 2024, Operațiunea Endgame, coordonată de la sediul Europol, a vizat dropperele IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee și Trickbot. Acțiunile s-au concentrat pe perturbarea serviciilor criminale prin arestarea țintelor de înaltă valoare, dezafectarea infrastructurilor criminale și înghețarea veniturilor ilegale. Această abordare a avut un impact global asupra ecosistemului dropper. Malware-ul, a cărui infrastructură a fost dezafectată în timpul zilelor de acțiune, a facilitat atacuri cu ransomware și alte programe software malițioase. După zilele de acțiune, opt fugari legați de aceste activități criminale, căutați de Germania, vor fi adăugați pe lista celor mai căutați infractori din Europa pe 30 mai 2024. Acești indivizi sunt căutați pentru implicarea lor în activități grave de criminalitate cibernetică.

Aceasta este cea mai mare operațiune de până acum împotriva botneturilor, care joacă un rol major în desfășurarea atacurilor de tip ransomware. Operațiunea, inițiată și condusă de Franța, Germania și Țările de Jos, a fost sprijinită de Eurojust și a implicat Danemarca, Regatul Unit și Statele Unite. În plus, Armenia, Bulgaria, Lituania, Portugalia, România, Elveția și Ucraina au sprijinit operațiunea cu diferite acțiuni, cum ar fi arestări, interogarea suspecților, percheziții și confiscări sau dezafectări de servere și domenii. Operațiunea a fost susținută de un număr de parteneri privați la nivel național și internațional, inclusiv Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus și DIVD.

Acțiunile coordonate au dus la:

• 4 arestări (1 în Armenia și 3 în Ucraina)
• 16 percheziții (1 în Armenia, 1 în Țările de Jos, 3 în Portugalia și 11 în Ucraina)
• Peste 100 de servere dezafectate sau perturbate în Bulgaria, Canada, Germania, Lituania, Țările de Jos, România, Elveția, Regatul Unit, Statele Unite și Ucraina
• Peste 2000 de domenii sub controlul autorităților

În plus, s-a descoperit prin investigațiile de până acum că unul dintre principalii suspecți a câștigat cel puțin 69 de milioane de euro în criptomonede prin închirierea site-urilor de infrastructură criminală pentru a desfășura atacuri de tip ransomware. Tranzacțiile suspectului sunt monitorizate constant și s-a obținut deja permisiunea legală de a confisca aceste active în cadrul acțiunilor viitoare.

Ce este un dropper și cum funcționează?

Malware droppers sunt un tip de software malițios conceput pentru a instala alte malware pe un sistem țintă. Acestea sunt utilizate în prima etapă a unui atac de malware, permițând infractorilor să evite măsurile de securitate și să implementeze programe dăunătoare suplimentare, cum ar fi viruși, ransomware sau spyware. Dropperele în sine nu cauzează de obicei daune directe, dar sunt cruciale pentru accesarea și implementarea programelor software dăunătoare pe sistemele afectate.

SystemBC a facilitat comunicarea anonimă între un sistem infectat și un server de comandă și control. Bumblebee, distribuit în principal prin campanii de phishing sau site-uri compromise, a fost conceput pentru a permite livrarea și executarea de încărcături suplimentare pe sistemele compromise. SmokeLoader a fost utilizat în principal ca un descărcător pentru a instala software malițios suplimentar pe sistemele infectate. IcedID (cunoscut și sub numele de BokBot), inițial catalogat ca un troian bancar, a fost dezvoltat ulterior pentru a servi alte infracțiuni cibernetice, pe lângă furtul de date financiare. Pikabot este un troian utilizat pentru a obține acces inițial la computerele infectate, permițând desfășurarea atacurilor de tip ransomware, preluarea de la distanță a computerului și furtul de date. Toate acestea sunt acum utilizate pentru a desfășura atacuri de tip ransomware și sunt considerate principalele amenințări în lanțul de infecție.

Fazele de operare ale droppere-lor

1. Infiltrare: Dropperele pot pătrunde în sisteme prin diverse canale, cum ar fi atașamente de e-mail, site-uri compromise sau pot fi incluse împreună cu software legitim.
2. Execuție: Odată executat, dropper-ul instalează malware-ul suplimentar pe computerul victimei. Această instalare are loc de obicei fără cunoștința sau consimțământul utilizatorului.
3. Evaziune: Dropperele sunt concepute pentru a evita detectarea de către software-ul de securitate. Acestea pot folosi metode precum obfuscare codului, rularea în memorie fără a salva pe disc sau imitarea proceselor software legitime.
4. Livrarea Încărcăturii: După implementarea malware-ului suplimentar, dropper-ul poate rămâne inactiv sau se poate elimina pentru a evita detectarea, lăsând încărcătura să desfășoare activitățile malițioase intenționate.

Endgame nu se oprește aici

Operațiunea Endgame nu se încheie astăzi. Noi acțiuni vor fi anunțate pe site-ul Operațiunea Endgame. În plus, suspecții implicați în aceste și alte botneturi, care nu au fost încă arestați, vor fi chemați să răspundă direct pentru acțiunile lor. Suspecții și martorii vor găsi informații despre cum să contacteze prin acest site.

Post de comandă la Europol pentru coordonarea acțiunilor operaționale

Europol a facilitat schimbul de informații și a oferit suport analitic, de urmărire a criptomonedelor și suport criminalistic pentru investigație. Pentru a sprijini coordonarea operațiunii, Europol a organizat peste 50 de apeluri de coordonare cu toate țările implicate, precum și un sprint operațional la sediul său.

Peste 20 de ofițeri de aplicare a legii din Danemarca, Franța, Germania și Statele Unite au sprijinit coordonarea acțiunilor operaționale de la postul de comandă de la Europol, iar alte sute de ofițeri din diferite țări au fost implicați în acțiuni. În plus, un post de comandă virtual a permis coordonarea în timp real între ofițerii din Armenia, Franța, Portugalia și Ucraina, desfășurați la fața locului în timpul activităților pe teren.

Postul de comandă de la Europol a facilitat schimbul de informații despre serverele confiscate, suspecți și transferul datelor confiscate. Posturi de comandă locale au fost de asemenea stabilite în Germania, Țările de Jos, Portugalia, Statele Unite și Ucraina. Eurojust a sprijinit acțiunea prin înființarea unui centru de coordonare la sediul său pentru a facilita cooperarea judiciară între toate autoritățile implicate. Eurojust a asistat, de asemenea, la executarea mandatelor europene de arestare și a ordinelor europene de investigație.

Autoritățile naționale la baza Operațiunii Endgame

State membre UE:

• Danemarca: Poliția Daneză (Politi)
• Franța: Jandarmeria Națională (Gendarmerie Nationale) și Poliția Națională (Police Nationale); Biroul Procurorului Public JUNALCO (Jurisdicția Națională împotriva Crimei Organizate) Unitatea de Criminalitate Cibernetică; Poliția Judiciară din Paris (Préfecture De Police de Paris)
• Germania: Biroul Federal de Poliție Criminală (Bundeskriminalamt), Biroul Procurorului General Frankfurt pe Main – Centrul de Criminalitate C