Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

Redazione RHC : 30 Maggio 2024 12:26

Tra il 27 e il 29 maggio 2024 l’operazione Endgame, coordinata dal quartier generale di Europol, ha preso di mira i dropper tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali.

Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata abbattuta durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Dopo le giornate di azione, il 30 maggio 2024 otto fuggitivi ricercati dalla Germania, collegati a queste attività criminali, verranno aggiunti all’elenco dei più ricercati Criminali informatici d’Europa.

Si tratta della più grande operazione mai realizzata contro le botnet, che svolgono un ruolo importante nella diffusione del ransomware. L’operazione, avviata e guidata da Francia, Germania e Paesi Bassi, è stata sostenuta anche da Eurojust e ha coinvolto Danimarca, Regno Unito e Stati Uniti. Inoltre, anche Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina hanno sostenuto l’operazione con diverse azioni, come arresti, interrogatori di sospetti, perquisizioni e sequestri o rimozione di server e domini.

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’operazione è stata supportata anche da una serie di partner privati ​​a livello nazionale e internazionale tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD.

Le azioni coordinate hanno portato a:

• 4 arresti (1 in Armenia e 3 in Ucraina)
• 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
• Oltre 100 server rimossi o interrotti in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina 
• Oltre 2 000 domini sotto il controllo delle forze dell’ordine

Inoltre, dalle indagini finora è emerso che uno dei principali sospettati ha guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware. Le transazioni del sospettato vengono costantemente monitorate ed è già stata ottenuta l’autorizzazione legale a sequestrare questi beni per azioni future.

Cos’è un dropper e come funziona?

I dropper di malware sono un tipo di software dannoso progettato per installare altro malware su un sistema di destinazione. Vengono utilizzati durante la prima fase di un attacco malware, durante la quale consentono ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi, come virus, ransomware o spyware. I dropper stessi di solito non causano danni diretti ma sono cruciali per l’accesso e l’implementazione di software dannosi sui sistemi interessati.

SystemBC ha facilitato la comunicazione anonima tra un sistema infetto e un server di comando e controllo. Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, è stato progettato per consentire la consegna e l’esecuzione di ulteriori payload su sistemi compromessi. SmokeLoader veniva utilizzato principalmente come downloader per installare ulteriori software dannosi sui sistemi che infetta. IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario, è stato ulteriormente sviluppato per servire altri crimini informatici oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti che consente la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati. Tutti vengono ora utilizzati per distribuire ransomware e sono visti come la principale minaccia nella catena di infezione.

Fasi di funzionamento dei dropper

• Infiltrazione: i dropper possono entrare nei sistemi attraverso vari canali, come allegati e-mail, siti Web compromessi, possono anche essere associati a software legittimo.
• Esecuzione: una volta eseguito, il dropper installa il malware aggiuntivo sul computer della vittima. Questa installazione avviene spesso all’insaputa o senza il consenso dell’utente.
• Evasione: i dropper sono progettati per evitare il rilevamento da parte dei software di sicurezza. Possono utilizzare metodi come offuscare il codice, eseguirlo in memoria senza salvarlo su disco o impersonare processi software legittimi.
• Consegna del payload: dopo aver distribuito il malware aggiuntivo, il dropper può rimanere inattivo o rimuoversi per eludere il rilevamento, lasciando che sia il payload a svolgere le attività dannose previste.

Endgame non finisce qui

L’operazione Endgame non termina oggi. Le nuove azioni saranno annunciate sul sito web Operation Endgame . Inoltre, i sospetti coinvolti in queste e altre reti Bot, che non sono ancora stati arrestati, saranno chiamati direttamente a rispondere delle loro azioni. Sospettati e testimoni troveranno informazioni su come contattarli tramite questo sito web.

Europol per coordinare le azioni operative

Europol ha facilitato lo scambio di informazioni e ha fornito supporto analitico, di criptotracciamento e forense alle indagini. Per supportare il coordinamento dell’operazione, Europol ha organizzato più di 50 chiamate di coordinamento con tutti i paesi, nonché uno sprint operativo presso la sua sede.

Oltre 20 agenti delle forze dell’ordine provenienti da Danimarca, Francia, Germania e Stati Uniti hanno supportato il coordinamento delle azioni operative dal posto di comando dell’Europol e centinaia di altri ufficiali dei diversi paesi coinvolti nelle azioni. Inoltre, un posto di comando virtuale ha consentito il coordinamento in tempo reale tra gli ufficiali armeni, francesi, portoghesi e ucraini schierati sul posto durante le attività sul campo.

Il posto di comando dell’Europol ha facilitato lo scambio di informazioni sui server sequestrati, sui sospettati e sul trasferimento dei dati sequestrati. Posti di comando locali sono stati istituiti anche in Germania, Paesi Bassi, Portogallo, Stati Uniti e Ucraina. Eurojust ha sostenuto l’azione istituendo un centro di coordinamento presso la propria sede per facilitare la cooperazione giudiziaria tra tutte le autorità coinvolte. Eurojust ha inoltre prestato assistenza nell’esecuzione di mandati di arresto europei e ordini di indagine europei.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli