Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

Redazione RHC : 30 Maggio 2024 12:26

Tra il 27 e il 29 maggio 2024 l’operazione Endgame, coordinata dal quartier generale di Europol, ha preso di mira i dropper tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali.

Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata abbattuta durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Dopo le giornate di azione, il 30 maggio 2024 otto fuggitivi ricercati dalla Germania, collegati a queste attività criminali, verranno aggiunti all’elenco dei più ricercati Criminali informatici d’Europa.

Si tratta della più grande operazione mai realizzata contro le botnet, che svolgono un ruolo importante nella diffusione del ransomware. L’operazione, avviata e guidata da Francia, Germania e Paesi Bassi, è stata sostenuta anche da Eurojust e ha coinvolto Danimarca, Regno Unito e Stati Uniti. Inoltre, anche Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina hanno sostenuto l’operazione con diverse azioni, come arresti, interrogatori di sospetti, perquisizioni e sequestri o rimozione di server e domini.

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

L’operazione è stata supportata anche da una serie di partner privati ​​a livello nazionale e internazionale tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD.

Le azioni coordinate hanno portato a:

  • 4 arresti (1 in Armenia e 3 in Ucraina)
  • 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
  • Oltre 100 server rimossi o interrotti in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina 
  • Oltre 2 000 domini sotto il controllo delle forze dell’ordine

Inoltre, dalle indagini finora è emerso che uno dei principali sospettati ha guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware. Le transazioni del sospettato vengono costantemente monitorate ed è già stata ottenuta l’autorizzazione legale a sequestrare questi beni per azioni future.

Cos’è un dropper e come funziona?

I dropper di malware sono un tipo di software dannoso progettato per installare altro malware su un sistema di destinazione. Vengono utilizzati durante la prima fase di un attacco malware, durante la quale consentono ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi, come virus, ransomware o spyware. I dropper stessi di solito non causano danni diretti ma sono cruciali per l’accesso e l’implementazione di software dannosi sui sistemi interessati.

SystemBC ha facilitato la comunicazione anonima tra un sistema infetto e un server di comando e controllo. Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, è stato progettato per consentire la consegna e l’esecuzione di ulteriori payload su sistemi compromessi. SmokeLoader veniva utilizzato principalmente come downloader per installare ulteriori software dannosi sui sistemi che infetta. IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario, è stato ulteriormente sviluppato per servire altri crimini informatici oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti che consente la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati. Tutti vengono ora utilizzati per distribuire ransomware e sono visti come la principale minaccia nella catena di infezione.

Fasi di funzionamento dei dropper

  • Infiltrazione: i dropper possono entrare nei sistemi attraverso vari canali, come allegati e-mail, siti Web compromessi, possono anche essere associati a software legittimo.
  • Esecuzione: una volta eseguito, il dropper installa il malware aggiuntivo sul computer della vittima. Questa installazione avviene spesso all’insaputa o senza il consenso dell’utente.
  • Evasione: i dropper sono progettati per evitare il rilevamento da parte dei software di sicurezza. Possono utilizzare metodi come offuscare il codice, eseguirlo in memoria senza salvarlo su disco o impersonare processi software legittimi.
  • Consegna del payload: dopo aver distribuito il malware aggiuntivo, il dropper può rimanere inattivo o rimuoversi per eludere il rilevamento, lasciando che sia il payload a svolgere le attività dannose previste.

Endgame non finisce qui

L’operazione Endgame non termina oggi. Le nuove azioni saranno annunciate sul sito web Operation Endgame . Inoltre, i sospetti coinvolti in queste e altre reti Bot, che non sono ancora stati arrestati, saranno chiamati direttamente a rispondere delle loro azioni. Sospettati e testimoni troveranno informazioni su come contattarli tramite questo sito web.

Europol per coordinare le azioni operative

Europol ha facilitato lo scambio di informazioni e ha fornito supporto analitico, di criptotracciamento e forense alle indagini. Per supportare il coordinamento dell’operazione, Europol ha organizzato più di 50 chiamate di coordinamento con tutti i paesi, nonché uno sprint operativo presso la sua sede.

Oltre 20 agenti delle forze dell’ordine provenienti da Danimarca, Francia, Germania e Stati Uniti hanno supportato il coordinamento delle azioni operative dal posto di comando dell’Europol e centinaia di altri ufficiali dei diversi paesi coinvolti nelle azioni. Inoltre, un posto di comando virtuale ha consentito il coordinamento in tempo reale tra gli ufficiali armeni, francesi, portoghesi e ucraini schierati sul posto durante le attività sul campo.

Il posto di comando dell’Europol ha facilitato lo scambio di informazioni sui server sequestrati, sui sospettati e sul trasferimento dei dati sequestrati. Posti di comando locali sono stati istituiti anche in Germania, Paesi Bassi, Portogallo, Stati Uniti e Ucraina. Eurojust ha sostenuto l’azione istituendo un centro di coordinamento presso la propria sede per facilitare la cooperazione giudiziaria tra tutte le autorità coinvolte. Eurojust ha inoltre prestato assistenza nell’esecuzione di mandati di arresto europei e ordini di indagine europei.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...