Operacija Endgame: Uhapšene četiri osobe osumnjičene za širenje poznatih malvera

Sajber hronika, 30.05.2024, 11:00 AM

Evropol je saopštio da je operacija Endgame, koja je koordinirana iz sedišta agencije, rezultirala hapšenjem nekoliko osoba, gašenjem stotina servera i zaplenom hiljada domena.

Operacija koja je trajala 3 dana, od 27. do 29. maja, ciljala je takozvane dropper malvere, uključujući IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee i Trickbot. Ovo je najveća operacija koja je ikada izvedena protiv botneta koji igraju glavnu ulogu u distribuciji ransomwarea. Evropol smatra da je funkcionisanje ključnih platformi za distribuciju ransomwarea sada blokirano.

Operacija je rezultirala hapšenjem četiri osobe, pri čemu je jedan osumnjičeni priveden u Jermeniji a trojica u Ukrajini. Još osam osoba koje su u bekstvu i koje su povezane sa ovim kriminalnim aktivnostima, a koje traži Nemačka, biće danas dodato na listu najtraženijih u Evropi.

Policija je izvršila pretrese na 16 lokacija u nekoliko zemalja širom Evrope. Evropol se pohvalio da su vlasti uklonile više od 100 servera i zaplenile više od 2.000 domena.

U operaciji koju su pokrenule i vodile Francuska, Nemačka i Holandija, a koju je podržao i Evrodžast, učestovale su i Danska, Velika Britanija i Sjedinjene Države. Pored toga, Jermenija, Bugarska, Litvanija, Portugalija, Rumunija, Švajcarska i Ukrajina takođe su podržale operaciju različitim akcijama, kao što su hapšenja, intervjuisanje osumnjičenih, pretresi i zaplene ili uklanjanje servera i domena. Operaciju je takođe podržao veliki broj privatnih kompanija, uključujući Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus i DIVD.

Dosadašnja istraga je otkrila da je jedan od glavnih osumnjičenih zaradio najmanje 69 miliona evra u kriptovaluti dajući u zakup sajtove za postavljanje ransomwarea. Transakcije osumnjičenog se stalno prate i već je dobijen sudski nalog za oduzimanje ove imovine.

Šta su dropperi i kako funkcionišu? Dropper je vrsta malvera koji instalira drugi malver na ciljni sistem. Dropperi se koriste tokom prve faze napada, tokom koje omogućavaju kriminalcima da zaobiđu bezbednosne mere i instaliraju dodatne malvere, kao što su virusi, ransomware ili špijunski softver. Dropperi sami po sebi najčešće ne izazivaju direktnu štetu, ali su ključni za pristup i implementaciju malvera na pogođenim sistemima.

Evropol je rekao da je SystemBC korišćen za anonimnu komunikaciju između zaraženog sistema i servera za komandu i kontrolu. Bumblebee, koji je distribuiran putem phishing kampanja ili hakovanih veb sajtova, dizajniran je da omogući isporuku malvera na kompromitovane sisteme. SmokeLoader se prvenstveno koristio kao program za preuzimanje i instaliranje dodatnog malvera na sisteme koje je inficirao. IcedID, koji je prvobitno kategorisan kao bankarski trojanac, dodatno je razvijen da služi i u drugim sajber zločinima, pored krađe finansijskih podataka. Trojanac Pikabot je korišćen za dobijanje početnog pristupa zaraženim računarima. On omogućava instalaciju ransomwarea, daljinsko preuzimanje kontrole nad računarima i krađu podataka.

„Svi se oni sada koriste za instalaciju ransomwarea i smatraju se glavnom pretnjom u lancu infekcije“, rekao je Europol.

„Operacija Endgame se ne završava danas. Nove akcije biće objavljene na sajtu Operacija Endgame. Osim toga, osumnjičeni umešani u ove i druge botnete, koji još nisu uhapšeni, biće direktno pozvani na odgovornost za svoje postupke“, rekao je Evropol.