Στην τελευταία φάση της λειτουργίας Endgame, μια διεθνής επιχείρηση επιβολής του νόμου, οι εθνικές αρχές από επτά χώρες κατέλαβαν 300 διακομιστές και 650 τομείς που χρησιμοποιήθηκαν για την έναρξη επιθέσεων ransomware.
“Από τις 19 έως τις 22 Μαΐου, οι αρχές κατέλαβαν περίπου 300 διακομιστές παγκοσμίως, εξουδετερωμένους 650 τομείς και εξέδωσαν διεθνή εντάλματα σύλληψης έναντι 20 στόχων, αντιμετωπίζοντας άμεσο πλήγμα στην αλυσίδα Kill Ransomware”, σύμφωνα με Ο επίσημος ιστότοπος της κοινής δράσης.
“Επιπλέον, κατασχέθηκε κατά τη διάρκεια της εβδομάδας 3,5 εκατομμυρίων ευρώ κατά 3,5 εκατομμύρια ευρώ, φέρνοντας το συνολικό ποσό που κατασχέθηκε κατά τη διάρκεια της λειτουργίας σε 21,2 εκατ. Ευρώ.”
Μαζί με τους εταίρους του ιδιωτικού τομέα, οι αρχές που συντονίζονται από Ευρωπίδα και Ευρώ Στόχευση πολλαπλών επιχειρήσεων στον κυβερνοχώρο, όπως το Bumblebee, το Lactrodectus, το Qakbot, το Danabot, το Trickbot και το Warmcookie.
Αυτά τα στελέχη κακόβουλου λογισμικού παρέχονται συχνά ως υπηρεσία σε άλλους εγκληματίες στον κυβερνοχώρο και χρησιμοποιούνται για να αποκτήσουν πρόσβαση στα δίκτυα των θυμάτων που στοχεύουν σε επιθέσεις ransomware.
“Αυτή η νέα φάση καταδεικνύει την ικανότητα της επιβολής του νόμου να προσαρμόσει και να χτυπήσει και πάλι, ακόμη και όταν οι εγκληματίες του κυβερνοχώρου αναδιοργανώνουν και αναδιοργανώνουν”, ο εκτελεστικός διευθυντής της Europol Catherine de Bolle προστέθηκε. “Με τη διαταραχή των εγκληματιών των υπηρεσιών βασίζονται στην ανάπτυξη ransomware, σπάζουμε την αλυσίδα Kill στην πηγή της”.
Χρεώσεις Danabot
Την Πέμπτη, το Υπουργείο Δικαιοσύνης των ΗΠΑ επίσης αποσπασμένες χρεώσεις εναντίον 16 κατηγορουμένων που φέρεται ότι μέρος μιας ρωσικής συμμορίας στον κυβερνοχώρο που ελέγχει τη λειτουργία κακόβουλου λογισμικού Danabot.
Οι αμερικανικές αρχές ονόμασαν οκτώ από τους 16 ρώσους υπηκόους που κατηγορήθηκαν (Aleksandr Stepanov, Artem Aleksandrovich Kalinkin, Danil Khalitov, ενώ ο Aleksey Efremov, ο Kamil Sztugulewski, ο Ibrahim Idowu, ο Artem Shubin και ο Aleksey Khudiakov)
Σύμφωνα με ένα καταγγελίαχρησιμοποίησαν το botnet για να αναπτύξουν πρόσθετα ωφέλιμα φορτία κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware, και έχουν μολύνει περισσότερους από 300.000 υπολογιστές παγκοσμίως, προκαλώντας αποζημίωση άνω των 50 εκατομμυρίων δολαρίων.
Το Malware Danabot έχει ενεργοποιήσει από το 2018 και λειτουργεί σε μοντέλο κακόβουλου λογισμικού-ως υπηρεσίας και επιτρέπει στους διαχειριστές να μισθώνουν πρόσβαση στο botnet και εργαλεία υποστήριξης για χιλιάδες δολάρια το μήνα. Το κακόβουλο λογισμικό μπορεί επίσης να καταργήσει τραπεζικές συνεδρίες, να κλέψει δεδομένα και να περιηγείσα ιστορίες και να παρέχει πλήρη απομακρυσμένη πρόσβαση σε συμβιβασμένα συστήματα, επιτρέποντας την καταγραφή των πληκτρολογίων και την εγγραφή βίντεο των δραστηριοτήτων των χρηστών.
Οι διαχειριστές της Danabot χρησιμοποίησαν επίσης μια δεύτερη έκδοση αυτού του botnet για σκοπούς cyberespionage, στοχεύοντας σε στρατιωτικές, διπλωματικές και κυβερνητικές οργανώσεις.
“Αυτή η έκδοση του botnet κατέγραψε όλες τις αλληλεπιδράσεις με τον υπολογιστή και έστειλε κλεμμένα δεδομένα σε διαφορετικό διακομιστή από την έκδοση που προσανατολίζεται στην απάτη του Danabot” Το Υπουργείο Δικαιοσύνης είπε. “Αυτή η παραλλαγή φέρεται να χρησιμοποιήθηκε για να στοχεύει διπλωμάτες, προσωπικό επιβολής του νόμου και μέλη του στρατού στη Βόρεια Αμερική και στην Ευρώπη”.
Προηγούμενη λειτουργία ενέργειες endgame
Η δράση αυτής της εβδομάδας ακολουθεί πολλές άλλες φάσεις endgame λειτουργίας, συμπεριλαμβανομένης της κατάσχεσης περισσότερων από 100 διακομιστών που φιλοξενούν πάνω από 2.000 τομείς που χρησιμοποιούνται από πολλαπλές λειτουργίες φορτωτή κακόβουλου λογισμικού, συμπεριλαμβανομένων των ICEDID, Pikabot, TrickBot, BumbleBee, SmokeLoader και SystemBC.
Έκτοτε, οι πράκτορες επιβολής του νόμου συνέλαβαν επίσης έναν ειδικό Cropter Crowit και Lockbit Ransomware Crypter τον Ιούνιο του 2024, ο οποίος βοήθησε να καταστεί το κακόβουλο λογισμικό μη ανιχνεύσιμο από το λογισμικό προστασίας από ιούς.
Τον Απρίλιο, η αστυνομία παρακολούθησε επίσης τους πελάτες του SmokEloader Botnet και κρατούσε τουλάχιστον πέντε άτομα που χρησιμοποιούν πληροφορίες που αποκτήθηκαν μετά την κατάληψη μιας βάσης δεδομένων που περιέχει πληροφορίες σχετικά με τους εγκληματίες στον κυβερνοχώρο που πλήρωσαν τις συνδρομές SmokEloader.
Αυτή την εβδομάδα, ο ρωσικός εθνικός Rustam Rafailevich Gallyamov, ο ηγέτης της επιχείρησης κακόβουλου λογισμικού Qakbot που υπονομεύει πάνω από 700.000 υπολογιστές και επέτρεψε τις επιθέσεις ransomware, κατηγορήθηκε επίσης στις Ηνωμένες Πολιτείες.
Επιπλέον, περίπου 2.300 τομείς κατασχέθηκαν νωρίτερα αυτό το μήνα σε μια δράση διαταραχής της Microsoft που στοχεύει το Lumma Malware-As-A-Service (MAAS).
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
