В рамките на международна операция на правоприлагащите органи с кодово име „Operation Endgame“ са иззети над 100 сървъра в цял свят, използвани от множество големи операции за зареждане на зловреден софтуер, включително IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.
Акцията, която се проведе между 27 и 29 май 2024 г., включваше 16 претърсвания на локации в цяла Европа и доведе до ареста на четирима души, един в Армения и трима в Украйна.
Освен това полицията е идентифицирала осем бегълци, свързани с операциите със зловреден софтуер, които по-късно днес ще бъдат добавени в списъка на Европол с „най-издирваните“.
Иззетата инфраструктура е била разпространена в цяла Европа и Северна Америка, като на нея са били разположени над 2000 домейна, които са улеснявали предоставянето на незаконни услуги – всички те вече са под контрола на властите.
В операция „Endgame“ участваха полицейски сили от Германия, САЩ, Обединеното кралство, Франция, Дания и Нидерландия.
Операцията беше подкрепена от разузнавателни данни, предоставени от експерти от Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.
Милиони заразени компютри
Дроперите за зловреден софтуер са специализирани инструменти, предназначени за установяване на първоначален достъп до устройствата. Киберпрестъпниците, които стоят зад тях, обикновено изпращат зловредни имейли, за да доставят зловредния софтуер, или скриват полезния товар в троянски инсталатори, популяризирани чрез злонамерена реклама или торенти.
Много от тези дропери започват като банкови троянски коне и по-късно еволюират, за да се фокусират върху първоначалния достъп, като същевременно опростяват работата си и премахват зловредните функции, за да намалят вероятността от откриване.
Те използват уклончиви тактики, като например тежко затъмняване на кода и олицетворяване на легитимен процес, като често се намират в паметта.
След като инфекцията бъде установена, те въвеждат по-опасни полезни товари в компрометираната система, като например устройства за кражба на информация и рансъмуер.
Европол съобщи, че един от основните заподозрени, участващи в една от целевите операции със зловреден софтуер, е спечелил над 69 млн. евро (74,5 млн. долара), като е отдал под наем инфраструктурата си за внедряване на ransomware.
„В хода на досегашните разследвания беше установено, че един от основните заподозрени е спечелил най-малко 69 млн. евро в криптовалута, като е отдавал под наем обекти на престъпната инфраструктура за внедряване на ransomware“, се казва в съобщението на Европол.
„Транзакциите на заподозрения се наблюдават постоянно и вече е получено законово разрешение за изземване на тези активи при бъдещи действия.“
Повече информация за заподозрените и операцията на правоприлагащите органи се планира да бъде публикувана на този специализиран портал по-късно днес.
