Поделиться
Европол и союзники прикрыли 2000 доменов с вредоносным софтом
Крупная операция против ботнетов привела к ликвидации масштабной сети, распространявшей целый ряд вредоносов, в т.ч. IcedID, Pikabot и Trickbot. Отключены 100 серверов, захвачены 2000 доменов, арестованы четверо, ещё восемь человек - в розыске.
Конец игры
Международная полицейская операция привела к закрытию более 100 серверов, с которых распространялось вредоносное программное обеспечение, в том числе дропперы/загрузчики IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.
Правоохранительным органам также удалось арестовать в Армении и Украине четверых участников группировки, которая управляла этими серверами, и определить ещё восьмерых подозреваемых, которых ещё предстоит переловить. Их занесли в список самых разыскиваемых в базы Европола.
Операция проводилась с 27 по 29 мая 2024 г. Правоохранительные органы Германии, США, Великобритании, Франции, Дании и Нидерландов провели обыски в 16 локациях одновременно при оперативной поддержке полицейских сил Армении, Украины, Болгарии, Литвы, Португалии, Румынии и Швейцарии.
В результате им удалось перехватить контроль сразу над двумя тысячами доменов, использовавшихся для совершения киберпреступлений.
Операция Endgame («Конец игры»), которую Европол называет крупнейшей операцией, нацеленной на ботнеты, проводилась при поддержке аналитических данных от таких компаний как Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.
Дроппер как угроза
Вредоносы, которые рассылались с захваченных серверов и доменов, заразили миллионы компьютеров по всему миру.
Большинство из них относится к классу т.н. «дропперов» или загрузчиков, выполняющих промежуточную роль при заражении конечных устройств другими вредоносными программами.
Как отмечается в материале Bleeping Computer, многие из этих вредоносных программ создавались изначально как банковские троянцы. Однако в дальнейшем их преобразовали в средства первоначальной компрометации, избавив от любых не относящихся к этому функций и добавив другие - например, обфускацию кода, способность маскироваться под легитимные процессы и бесфайловость - эти программы существуют и функционируют только в оперативной памяти устройства.
После установки эти дропперы сгружают в скомпрометированную систему инфостилеры и шифровальщики, обеспечивая им скрытное проникновение.
В заявлении Европола говорится, что один из подозреваемых (которого пока не удалось задержать), заработал не менее €69 млн, просто сдавая в аренду свою «инфраструктуру веб-сайтов» операторам шифровальщиков.
Все эти средства уже отслежены и соответствующие судебные инстанции выдали разрешение на их конфискацию, так что на безоблачную пенсию на тропических островах злоумышленник может не рассчитывать.
«Данный этап - это далеко не вся операция», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, уже можно говорить о большом успехе: столь масштабную инфраструктуру создавали явно не один год, и злоумышленникам потребуется немало времени, чтобы возобновить деятельность - если её будет, кому возобновлять.
Эксперт добавила, что одновременно Минюст США и ФБР отчитались о разгроме ботнета 911 S5, который считается одним из крупнейших в мире: он насчитывал 19 млн уникальных IP-адресов, а для его управления использовались сразу 150 серверов. Его создатель и основной оператор арестован, ему грозит до 65 лет тюрьмы.
Поделиться
Короткая ссылка
