Міжнародна операція припинила роботу дропперів, зокрема IcedID, SystemBC, Pikabot, Smokeloader і Bumblebee, що призвело до чотирьох арештів і демонтажу понад 100 серверів по всьому світу. Про це повідомляє Europol.
Між 27 і 29 травня 2024 року операція Endgame, координована зі штаб-квартири Європолу, була націлена на дропперів, зокрема IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee і Trickbot. Дії були зосереджені на підриві злочинних служб шляхом арешту цінних цілей, знищення кримінальної інфраструктури та заморожування незаконних доходів. Такий підхід мав глобальний вплив на екосистему крапельниць. Зловмисне програмне забезпечення, інфраструктуру якого було зруйновано під час дій, сприяло атакам за допомогою програм-вимагачів та іншого шкідливого програмного забезпечення. Після проведення заходів 30 травня 2024 року вісім осіб, пов’язаних із цією злочинною діяльністю, яких розшукує Німеччина, будуть додані до списку найбільш розшукуваних у Європі. Осіб розшукуються за причетність до серйозних кіберзлочинів.
Це найбільша в історії операція проти ботнетів, які відіграють важливу роль у розгортанні програм-вимагачів. Операція, ініційована та проведена Францією, Німеччиною та Нідерландами, також була підтримана Євроюстом і залучила Данію, Великобританію та Сполучені Штати. Крім того, Вірменія, Болгарія, Литва, Португалія, Румунія, Швейцарія та Україна також підтримали операцію різними діями, такими як арешти, опитування підозрюваних, обшуки та вилучення або видалення серверів і доменів. Операцію також підтримали низка приватних партнерів на національному та міжнародному рівнях, включаючи Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus і DIVD.
Злагоджені дії призвели до:
-4 арешти (1 у Вірменії та 3 в Україні)
-16 пошуків місцеположень (1 у Вірменії, 1 у Нідерландах, 3 у Португалії та 11 в Україні)
-У Болгарії, Канаді, Німеччині, Литві, Нідерландах, Румунії, Швейцарії, Сполученому Королівстві, Сполучених Штатах та Україні понад 100 серверів виведено з ладу або вимкнено.
-Понад 2000 доменів під контролем правоохоронних органів.
Крім того, під час розслідування було виявлено, що один із головних підозрюваних заробив щонайменше 69 мільйонів євро в криптовалюті, здаючи в оренду сайти злочинної інфраструктури для розгортання програм-вимагачів. Операції підозрюваного постійно контролюються і вже отримані правові дозволи на арешт цих активів при подальших діях.
Що таке крапельниця і як вона працює?
Зловмисники – це тип шкідливого програмного забезпечення, призначеного для встановлення іншого шкідливого програмного забезпечення в цільову систему. Вони використовуються на першому етапі атаки зловмисного програмного забезпечення, під час якого вони дозволяють злочинцям обійти заходи безпеки та розгорнути додаткові шкідливі програми, такі як віруси, програми-вимагачі або шпигунські програми. Самі дроппери зазвичай не завдають прямої шкоди, але мають вирішальне значення для доступу та впровадження шкідливого програмного забезпечення в уражених системах.SystemBC сприяв анонімному спілкуванню між зараженою системою та командно-контрольними серверами. Bumblebee, який розповсюджується в основному через фішингові кампанії або скомпрометовані веб-сайти, був розроблений, щоб забезпечити доставку та виконання подальших корисних навантажень у скомпрометованих системах. SmokeLoader в основному використовувався як завантажувач для встановлення додаткового шкідливого програмного забезпечення на системи, які він заражає. IcedID (також відомий як BokBot), спочатку класифікований як банківський троян, був удосконалений для обслуговування інших кіберзлочинів на додаток до крадіжки фінансових даних. Pikabot — це троян, який використовується для отримання первинного доступу до заражених комп’ютерів, що дозволяє розгортати програми-вимагачі, віддалене захоплення комп’ютера та крадіжку даних. Усі вони зараз використовуються для розгортання програм-вимагачів і вважаються головною загрозою в ланцюжку зараження.
Етапи роботи крапельниць
Інфільтрація: Droppers можуть проникати в системи через різні канали, такі як вкладення електронної пошти, скомпрометовані веб-сайти, вони також можуть бути в комплекті з легальним програмним забезпеченням.Виконання: після виконання дроппер встановлює додаткове шкідливе програмне забезпечення на комп’ютер жертви. Таке встановлення часто відбувається без відома або згоди користувача.
Ухилення: Droppers розроблено, щоб уникнути виявлення програмним забезпеченням безпеки. Вони можуть використовувати такі методи, як обфускація свого коду, запуск у пам’яті без збереження на диск або імітація законних процесів програмного забезпечення.
Доставка корисного навантаження: після розгортання додаткового зловмисного програмного забезпечення дроппер може залишатися неактивним або видалятися, щоб уникнути виявлення, залишаючи корисне навантаження для виконання запланованих зловмисних дій.
Ендшпіль на цьому не закінчується
Операція Endgame не закінчується сьогодні. Про нові дії буде оголошено на сайті Operation Endgame . Крім того, підозрювані, причетні до цих та інших ботнетів, які ще не заарештовані, будуть безпосередньо притягнуті до відповідальності за свої дії. На цьому веб-сайті підозрювані та свідки знайдуть інформацію про те, як зв’язатися.
Командний пункт Європолу для координації оперативних дій
Європол сприяв обміну інформацією та надавав аналітичну, криптографічну та криміналістичну підтримку розслідуванню. Щоб підтримати координацію операції, Європол організував понад 50 координаційних дзвінків з усіма країнами, а також оперативний спринт у своїй штаб-квартирі.
Понад 20 правоохоронців з Данії, Франції, Німеччини та США підтримували координацію оперативних дій з командного пункту Європолу та сотні інших офіцерів з різних країн, залучених до дій. Крім того, віртуальний командний пункт дозволяв координацію в режимі реального часу між вірменськими, французькими, португальськими та українськими офіцерами, дислокованими на місці під час польових дій.
Командний пункт сприяв обміну розвідданими щодо захоплених серверів, підозрюваних і передачі вилучених даних. Місцеві командні пункти були створені також у Німеччині, Нідерландах, Португалії, США та Україні. Євроюст підтримав цю акцію, створивши координаційний центр у своїй штаб-квартирі для сприяння судовій співпраці між усіма залученими органами. Євроюст також допомагав у виконанні європейських ордерів на арешт і європейських наказів про розслідування.
Національні органи влади в основі операції «Ендшпіль».
Держави-члени ЄС:
Данія: поліція Данії (Politi)
Франція: Національна жандармерія (Gendarmerie Nationale) і Національна поліція (Police Nationale); Відділ кіберзлочинності ЮНАЛКО (Національна юрисдикція проти організованої злочинності) офісу державної прокуратури; Судова поліція Парижа (Préfecture De Police de Paris)
Німеччина: Федеральне управління кримінальної поліції (Bundeskriminalamt), Генеральна прокуратура Франкфурта-на-Майні – Центр боротьби з кіберзлочинністю
Нідерланди: Національна поліція (Politie), Державна прокуратура (Openbaar Ministerie)
Країни, що не входять до ЄС:
Велика Британія: Національне агентство боротьби зі злочинністю
Сполучені Штати: Федеральне бюро розслідувань, Секретна служба США, Служба кримінальних розслідувань Міністерства юстиції США.
