Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 26 Maggio 2025 15:06
Nel corso della lunga operazione internazionale Endgame, le forze dell’ordine hanno smantellato la botnet DanaBot e hanno emesso mandati di arresto nei confronti di 16 cittadini russi. L’eliminazione di DanaBot faceva parte dell’operazione Endgame, iniziata l’anno scorso. Ricordiamo che all’operazione Endgame presero parte in quel periodo rappresentanti della polizia di Germania, USA, Gran Bretagna, Francia, Danimarca e Paesi Bassi.
Inoltre, esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD hanno fornito informazioni operative alle autorità, condividendo con le forze dell’ordine dati sull’infrastruttura botnet e sul funzionamento interno di vari malware. Nel 2024, le autorità hanno segnalato il sequestro di oltre 100 server utilizzati dai principali downloader di malware, tra cui IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC. Tali dropper vengono utilizzati per ottenere l’accesso iniziale ai dispositivi delle vittime e per distribuire payload aggiuntivi.
Come hanno spiegato i rappresentanti dell’Europol, l’operazione Endgame era ormai entrata nella sua fase finale e mirava a distruggere DanaBot e altre famiglie di malware che si erano attivate dopo i precedenti tentativi di eliminarle. Le forze dell’ordine e i loro partner del settore privato (Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru e Zscaler) hanno cercato di smantellare la catena del ransomware andando alle radici, smantellando un totale di circa 300 server e 650 domini ed emettendo mandati di arresto internazionali per 20 individui.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli agenti delle forze dell’ordine hanno anche sequestrato criptovalute per un valore complessivo di 24 milioni di dollari, di cui 4 milioni durante la fase finale dell’operazione. Come riportato dal Dipartimento di Giustizia degli Stati Uniti, la botnet DanaBot è stata smantellata dopo aver infettato più di 300.000 computer in tutto il mondo ed è stata utilizzata per frodi e attacchi ransomware che hanno causato danni per almeno 50 milioni di dollari.
Il Dipartimento di Giustizia degli Stati Uniti ha inoltre desecretato le accuse nei confronti di 16 persone presumibilmente coinvolte nello sviluppo e nell’utilizzo di DanaBot. Tutti gli imputati sono cittadini russi, tra cui: Alexander Stepanov (alias JimmBee), Artem Alexandrovich Kalinkin (alias Onix), Danil Khalitov, Alexey Efremov, Kamil Shtugulevsky, Ibragim Idova, Artem Shubin e Alexey Khudyakov, oltre ad altre otto persone menzionate sotto pseudonimo.
Come ha sottolineato il noto giornalista esperto in sicurezza informatica Brian Krebs, Kalinkin presumibilmente lavorava come ingegnere informatico presso Gazprom. Secondo i documenti del tribunale, molti dei sospettati sono stati identificati dopo aver infettato accidentalmente i propri computer con DanaBot. Ricordiamo che DanaBot è apparso nel 2018. Inizialmente, il malware aveva preso di mira Ucraina, Polonia, Austria, Italia, Germania e Australia, ma si è presto diffuso anche in Nord America.
DanaBot veniva distribuito utilizzando il modello MaaS (Malware-as-a-service) e inizialmente era un Trojan bancario che gli consentiva di rubare dati riservati dai sistemi infetti. Successivamente si è evoluto in una piattaforma di distribuzione e download per altre famiglie di malware, tra cui il ransomware. In seguito, gli amministratori di DanaBot svilupparono una seconda versione della loro botnet per scopi di spionaggio informatico, prendendo di mira organizzazioni militari, diplomatiche e governative in Nord America e in Europa.
Secondo gli analisti di Proofpoint, i malware è stato utilizzato da diversi grandi gruppi di hacker tra il 2018 e il 2020 e poi diffuso attivamente trama l’attività è ripresa a metà del 2024. Ora il malware non sfruttava solo le e-mail, ma si affidava anche a pubblicità dannose e a tecniche di infezione SEO.
Gli esperti di Lumen Technologies, che hanno anche collaborato con le forze dell’ordine, affermano che DanaBot ha in media 150 server C&C attivi al giorno, il che lo rende una delle più grandi minacce MaaS degli ultimi anni. Insieme al Team Cymru, gli esperti hanno condotto un’analisi dell’infrastruttura della botnet .
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
