Operacja Europol Sting wypala wiele botnetów


Niektóre z najbardziej znanych przypadków upuszczania złośliwego oprogramowania botnety w dniu dzisiejszym, m.in TrzmielIcedID, Pikabot, WędzarniaSystemBC i Trickbotzostały zakłócone w wyniku skoordynowanych działań w zakresie egzekwowania prawa zorganizowanych za pośrednictwem agencji Europol Unii Europejskiej (UE).

Operacja Endgame, w ramach której wsparto zarówno brytyjską Narodową Agencję ds. Przestępczości (NCA), jak i amerykańskie FBI, a także agencje z Armenii, Bułgarii, Danii, Francji, Niemiec, Litwy, Holandii, Portugalii, Rumunii, Szwajcarii i Ukrainy, rozegrał się w dniach 27–29 maja 2024 r.

Wsparcie branżowe pochodziło od wielu specjalistów ds. cyberbezpieczeństwa, w tym Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus i DIVD.

Koncentrował się na zakłócaniu działalności cyberprzestępczej poprzez usuwanie kluczowej infrastruktury, zamrażanie aktywów i aresztowania celów o dużej wartości. W wyniku operacji policja dokonała czterech aresztowań – jednego w Armenii i trzech na Ukrainie; przeszukaj 16 nieruchomości; zniszczyć ponad 100 serwerów; i przejąć 2000 domen.

Dochodzenie wykazało również, że jeden z głównych podejrzanych zarobił co najmniej 69 milionów euro w kryptowalutach na wynajmowaniu witryn infrastruktury przestępczej gangom zajmującym się oprogramowaniem ransomware. Osoba ta jest monitorowana, a władze posiadają prawne pozwolenie na przejęcie jej majątku w ramach przyszłej operacji.

W wiadomości opublikowanej na dedykowana mikrostrona Operacji Endgame, Europol powiedział: „Witamy w grze końcowej. Międzynarodowe organy ścigania i partnerzy połączyli siły. Od dawna prowadzimy dochodzenie w sprawie Ciebie i Twoich przestępczych przedsięwzięć i na tym nie poprzestaniemy.

Reklama

„To jest pierwszy sezon Operacji Endgame. Czekać na dalsze informacje. To na pewno będzie ekscytujące. Może jednak nie dla każdego. Niektóre wyniki znajdziesz tutaj, inne przyjdą do Ciebie w inny i nieoczekiwany sposób.

„Nie wahaj się skontaktować, możesz nas potrzebować” – kontynuował. „Z pewnością oboje moglibyśmy skorzystać na otwartym dialogu. Nie byłbyś pierwszy i nie będziesz ostatni. Pomyśl o (swoim) następnym ruchu.”

Europol stwierdził, że operacja Endgame to największa w historii operacja wymierzona w te botnety, które służą głównie do dostarczania oprogramowania ransomware i innych szkodliwych ładunków.

„Operacja Endgame nie kończy się dzisiaj” – powiedział Europol. „Nowe działania będą ogłaszane na stronie Operacji Endgame. Ponadto podejrzani zaangażowani w te i inne botnety, którzy nie zostali jeszcze aresztowani, zostaną bezpośrednio wezwani do odpowiedzialności za swoje działania. Podejrzani i świadkowie znajdą informacje dotyczące sposobu nawiązania kontaktu za pośrednictwem tej strony internetowej.”

Jak działają droppery

Droppery złośliwego oprogramowania to pakiety złośliwego oprogramowania, które na ogół nie powodują uszkodzeń docelowych komputerów, ale zamiast tego zostały zaprojektowane do wykorzystania jako stanowisko postojowe dla innych złośliwych programów – często szafek ransomware. Ze względu na ich użyteczność dla gangów zajmujących się oprogramowaniem ransomware, atakowanie ich w celu zakłócenia działania może mieć poważne skutki w dalszej części działania.

Pojawiają się na początkowych etapach cyberataków i pomagają cyberprzestępcom przedostać się przez zabezpieczenia, unikając wykrycia w celu przeprowadzenia ataków.

Osoby będące celem Operacji Endgame różnią się między sobą pod względem sposobu działania i tego, co dokładnie robią – na przykład wiele z nich przychodzi jako załączniki do złośliwych wiadomości e-mail phishingowych, inne są nieumyślnie pobierane z zainfekowanych stron internetowych, a nawet mogą być „ w pakiecie” z legalnym oprogramowaniem – ale ostatecznie wszystkie służą temu samemu celowi.

Matt Hull, globalny szef wywiadu zagrożeń w firmie Grupa NCKwyjaśnił, że ponieważ te botnety to zasadniczo sieci urządzeń podłączonych do Internetu, działających na polecenie administratora cyberprzestępczego, dość łatwo – w niektórych przypadkach jest to prawdopodobne – dokooptowanie urządzeń do takich schematów bez wiedzy ich prawowitych właścicieli.

W Wielkiej Brytanii najnowsze przepisy w postaci ustawy o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej – które weszły w życie z końcem kwietnia 2024 r – dodaje dodatkowe bariery ochronne, które mogą uniemożliwić włączenie urządzeń należących do zwykłych obywateli do działalności przestępczej, ale nadal ważne jest, aby zdawać sobie sprawę z zagrożenia związanego z botnetem i podejmować kroki w celu ochrony swoich urządzeń, aby uniknąć ryzyka osobistego i wpływu na ich normalna operacja.

„Ważne jest również, aby pomyśleć przed kliknięciem łącza lub otwarciem załączników do wiadomości e-mail, ponieważ złośliwe oprogramowanie botnetowe często rozprzestrzenia się za pośrednictwem spamu lub wiadomości phishingowych. Dobrą praktyką jest zawsze dokładnie sprawdzić, czy otwierasz coś legalnego.

Co jest następne?

Społeczność zajmująca się bezpieczeństwem pozytywnie zareagowała na wiadomość o użądleniu, ale ich poparcie słabnie świadomość, że nadal pozostaje wiele do zrobienia, a udane operacje nie zawsze dają długoterminowe rezultaty.

„Władze mogą mieć teraz kontrolę nad infrastrukturą, ale niezliczone urządzenia prawdopodobnie pozostają zainfekowane uśpionym złośliwym oprogramowaniem typu botnet” – stwierdził Ciemny ślad szef analizy zagrożeń Toby Lewis.

„Przejęcie serwerów to dopiero pierwszy krok – muszą działać szybko, aby powiadomić ofiary i zapewnić jasne wskazówki dotyczące usuwania złośliwego oprogramowania i zabezpieczania systemów… W najgorszym przypadku napastnicy mogą odzyskać kontrolę nad przejętą domeną i szybko ponownie aktywować zainfekowane urządzenia, które kłamały W oczekiwaniu.

„Organy ścigania muszą zachować czujność i uważnie monitorować wszelkie oznaki próbowania przez przestępców ustanowienia nowych serwerów dowodzenia i kontroli lub wzmożenia aktywności botnetów” – stwierdził. „Jeśli napastnicy spróbują odzyskać swoją pozycję, władze muszą być gotowe, aby szybko zaalarmować ofiary”.

Lewis powiedział, że teraz konieczne będą ciągłe wysiłki, aby oczyścić sytuację i zapobiec ponownemu zakażeniu, a to wymaga lepszej koordynacji między partnerami z sektora publicznego i prywatnego oraz przejrzystej komunikacji w całym tekście.

„Chociaż to użądlenie oznacza znaczny postęp, jest to tylko jedna udana operacja w trwającej walce z cyberprzestępczością” – stwierdził. „Cyberprzestępcy są wytrwali i szybko się adaptują. Musimy pozostać równie sumienni i proaktywni”.

Operacja amerykańska

Odrębnie od Operacji Endgame jest to akcja prowadzona przez Departament Sprawiedliwości USA (DoJ). przerwał działanie innego dużego botnetu powiązany z atakami oprogramowania ransomware, oszustwami, zastraszaniem i nękaniem w Internecie, naruszeniami eksportowymi, wykorzystywaniem dzieci, a nawet groźbami bombowymi.

W ramach tej operacji aresztowano obywatela Chin, St. Kitts i Nevis, wymienionego przez Departament Sprawiedliwości jako YunHe Wang, lat 35, pod zarzutami karnymi wynikającymi z rozprzestrzeniania złośliwego oprogramowania i obsługi usługi proxy dla domów 911 S5.

W aktach oskarżenia ujawnionych w zeszłym tygodniu w USA Wang został oskarżony o tworzenie i rozpowszechnianie złośliwego oprogramowania w celu utworzenia sieci milionów komputerów stacjonarnych z systemem Windows powiązanych z 19 milionami unikalnych adresów IP i zarobienie milionów dolarów na oferowaniu do nich cyberprzestępcom dostępu.

Szkodnik rzekomo rozprzestrzeniał się za pośrednictwem dwóch wirtualnych sieci prywatnych (VPN), MaskVPN i DewVPN, a także usług płatnych za instalację, które łączyły złośliwe oprogramowanie Wanga z innymi plikami, zazwyczaj pirackimi kopiami licencjonowanego oprogramowania lub materiałami chronionymi prawami autorskimi. Całość zarządzana była poprzez około 150 serwerów dedykowanych – 76 z nich było dzierżawionych od dostawców usług z siedzibą w USA.

Departament Sprawiedliwości stwierdził, że cyberprzestępcy wykorzystujący 911 S5 w swoich łańcuchach ataków mogli ukraść miliardy dolarów, w tym poprzez ponad 550 000 fałszywych roszczeń z tytułu ubezpieczenia na wypadek bezrobocia w ramach amerykańskiego programu pomocy w związku z Covid-19, co spowodowało straty dla amerykańskich podatników w wysokości 5,9 miliarda dolarów. Instytucjom finansowym skradziono kolejne miliony.

Ponadto cyberprzestępcy korzystający z numeru 911 S5 mogli kupować towary za pomocą skradzionych kart kredytowych lub dochodów uzyskanych z przestępstwa i eksportować je poza USA z naruszeniem lokalnych kontroli eksportu, przy czym byli to przestępcy z Ghany, którzy używali skradzionych kart kredytowych do składania fałszywych zamówień na Platforma e-commerce ShopMyExchange armii amerykańskiej i sił powietrznych, która początkowo zwróciła uwagę władz.

Przypuszcza się, że sam Wang zarobił 99 milionów dolarów na 911 S5, za które kupił nieruchomości w USA, St Kitts i Nevis, Chinach, Singapurze, Chinach i Zjednoczonych Emiratach Arabskich. W akcie oskarżenia wskazano także szereg aktywów o dużej wartości, w tym Ferrari F8 Spider SA z 2022 r., Rolls Royce i luksusowe zegarki naręczne.

„Zarzucane tu zachowanie brzmi, jakby zostało wyrwane ze scenariusza: plan sprzedaży dostępu do milionów komputerów zainfekowanych złośliwym oprogramowaniem na całym świecie, umożliwiający przestępcom na całym świecie kradzież miliardów dolarów, przesyłanie gróźb bombowych i wymianę materiałów wykorzystywanych do wykorzystywania dzieci – a następnie za pomocą program zapewnia prawie 100 milionów dolarów zysków na zakup luksusowych samochodów, zegarków i nieruchomości” – powiedział Matthew Axelrod, zastępca sekretarza ds. egzekwowania prawa eksportu w Biurze Przemysłu i Bezpieczeństwa Departamentu Handlu Stanów Zjednoczonych.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Gwiezdne Wojny: Największym i najdziwniejszym jajkiem wielkanocnym Akolity jest Jedi Plo Koon

Nowa seria Gwiezdnych Wojen od Lucasfilm Akolita ma zasłużył na pochwałę za zwykłe istnienie poza sagą Skywalker – po 47...

Oto, jak przygotować komputer Mac na system macOS Sequoia za pomocą narzędzia CleanMyMac X

Obraz: CleanMyMac X Nowy system MacOS Sequoia firmy Apple oficjalnie pojawi się jesienią, więc Wyczyść MyMaca X udzielił nam świetnych rad, jak najlepiej przygotować...

Tożsamość Mistrza Sithów z „Akolity” jest już całkiem jasna

Akolita utrzymuje w tajemnicy tożsamość tajemniczego Mistrza Sithów, ale – naszym skromnym zdaniem – nie może być to jaśniejsze. Przez...
Advertisment