Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Condividi la tua difesa. Incoraggia l'eccellenza.
La vera forza della cybersecurity risiede
nell'effetto moltiplicatore della conoscenza.
Home
Allarme CISA: exploit in corso contro VMware vCenter. Rischio RCE senza autenticazione-AGI: i CEO di Google e Anthropic lanciano l’allarme a Davos – il mondo non sarà pronto!-Un browser funzionante creato con l’AI con 3 milioni di righe di codice: svolta o illusione?-NoName057(16) colpisce l’Italia 487 volte negli ultimi 3 mesi: l’ondata DDoS non si ferma-Sicurezza di Rete e Sistemi: guida alla protezione dell’infrastruttura IT-Allarme CISA: exploit in corso contro VMware vCenter. Rischio RCE senza autenticazione-AGI: i CEO di Google e Anthropic lanciano l’allarme a Davos – il mondo non sarà pronto!-Un browser funzionante creato con l’AI con 3 milioni di righe di codice: svolta o illusione?-NoName057(16) colpisce l’Italia 487 volte negli ultimi 3 mesi: l’ondata DDoS non si ferma-Sicurezza di Rete e Sistemi: guida alla protezione dell’infrastruttura IT
970x20 Itcentric
Cyber Offensive Fundamentals 320x200 V0.1
Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

30 Maggio 2024 12:26

Tra il 27 e il 29 maggio 2024 l’operazione Endgame, coordinata dal quartier generale di Europol, ha preso di mira i dropper tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali.

Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata abbattuta durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Dopo le giornate di azione, il 30 maggio 2024 otto fuggitivi ricercati dalla Germania, collegati a queste attività criminali, verranno aggiunti all’elenco dei più ricercati Criminali informatici d’Europa.

Si tratta della più grande operazione mai realizzata contro le botnet, che svolgono un ruolo importante nella diffusione del ransomware. L’operazione, avviata e guidata da Francia, Germania e Paesi Bassi, è stata sostenuta anche da Eurojust e ha coinvolto Danimarca, Regno Unito e Stati Uniti. Inoltre, anche Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina hanno sostenuto l’operazione con diverse azioni, come arresti, interrogatori di sospetti, perquisizioni e sequestri o rimozione di server e domini.


Cyber Offensive Fundamentale Ethical Hacking 02

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’operazione è stata supportata anche da una serie di partner privati ​​a livello nazionale e internazionale tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD.

Le azioni coordinate hanno portato a:

  • 4 arresti (1 in Armenia e 3 in Ucraina)
  • 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
  • Oltre 100 server rimossi o interrotti in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina 
  • Oltre 2 000 domini sotto il controllo delle forze dell’ordine

Inoltre, dalle indagini finora è emerso che uno dei principali sospettati ha guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware. Le transazioni del sospettato vengono costantemente monitorate ed è già stata ottenuta l’autorizzazione legale a sequestrare questi beni per azioni future.

Cos’è un dropper e come funziona?

I dropper di malware sono un tipo di software dannoso progettato per installare altro malware su un sistema di destinazione. Vengono utilizzati durante la prima fase di un attacco malware, durante la quale consentono ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi, come virus, ransomware o spyware. I dropper stessi di solito non causano danni diretti ma sono cruciali per l’accesso e l’implementazione di software dannosi sui sistemi interessati.

SystemBC ha facilitato la comunicazione anonima tra un sistema infetto e un server di comando e controllo. Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, è stato progettato per consentire la consegna e l’esecuzione di ulteriori payload su sistemi compromessi. SmokeLoader veniva utilizzato principalmente come downloader per installare ulteriori software dannosi sui sistemi che infetta. IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario, è stato ulteriormente sviluppato per servire altri crimini informatici oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti che consente la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati. Tutti vengono ora utilizzati per distribuire ransomware e sono visti come la principale minaccia nella catena di infezione.

Fasi di funzionamento dei dropper

  • Infiltrazione: i dropper possono entrare nei sistemi attraverso vari canali, come allegati e-mail, siti Web compromessi, possono anche essere associati a software legittimo.
  • Esecuzione: una volta eseguito, il dropper installa il malware aggiuntivo sul computer della vittima. Questa installazione avviene spesso all’insaputa o senza il consenso dell’utente.
  • Evasione: i dropper sono progettati per evitare il rilevamento da parte dei software di sicurezza. Possono utilizzare metodi come offuscare il codice, eseguirlo in memoria senza salvarlo su disco o impersonare processi software legittimi.
  • Consegna del payload: dopo aver distribuito il malware aggiuntivo, il dropper può rimanere inattivo o rimuoversi per eludere il rilevamento, lasciando che sia il payload a svolgere le attività dannose previste.

Endgame non finisce qui

L’operazione Endgame non termina oggi. Le nuove azioni saranno annunciate sul sito web Operation Endgame . Inoltre, i sospetti coinvolti in queste e altre reti Bot, che non sono ancora stati arrestati, saranno chiamati direttamente a rispondere delle loro azioni. Sospettati e testimoni troveranno informazioni su come contattarli tramite questo sito web.

Europol per coordinare le azioni operative

Europol ha facilitato lo scambio di informazioni e ha fornito supporto analitico, di criptotracciamento e forense alle indagini. Per supportare il coordinamento dell’operazione, Europol ha organizzato più di 50 chiamate di coordinamento con tutti i paesi, nonché uno sprint operativo presso la sua sede.

Oltre 20 agenti delle forze dell’ordine provenienti da Danimarca, Francia, Germania e Stati Uniti hanno supportato il coordinamento delle azioni operative dal posto di comando dell’Europol e centinaia di altri ufficiali dei diversi paesi coinvolti nelle azioni. Inoltre, un posto di comando virtuale ha consentito il coordinamento in tempo reale tra gli ufficiali armeni, francesi, portoghesi e ucraini schierati sul posto durante le attività sul campo.

Il posto di comando dell’Europol ha facilitato lo scambio di informazioni sui server sequestrati, sui sospettati e sul trasferimento dei dati sequestrati. Posti di comando locali sono stati istituiti anche in Germania, Paesi Bassi, Portogallo, Stati Uniti e Ucraina. Eurojust ha sostenuto l’azione istituendo un centro di coordinamento presso la propria sede per facilitare la cooperazione giudiziaria tra tutte le autorità coinvolte. Eurojust ha inoltre prestato assistenza nell’esecuzione di mandati di arresto europei e ordini di indagine europei.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana 300x300
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.
Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber
Visita il sito web dell'autore

Articoli in evidenza

Immagine del sitoCyber News
Allarme CISA: exploit in corso contro VMware vCenter. Rischio RCE senza autenticazione
Redazione RHC - 25/01/2026

La vulnerabilità critica recentemente aggiunta al catalogo delle vulnerabilità note sfruttate (KEV) dalla Cybersecurity and Infrastructure Security Agency (CISA) interessa il Broadcom VMware vCenter Server e viene attivamente sfruttata dagli hacker criminali per violare le…

Immagine del sitoCyber News
“Ho rubato 120.000 Bitcoin”: la confessione dell’hacker di Bitfinex che ora vuole difendere il cyberspazio
Agostino Pellegrino - 25/01/2026

La storia di Ilya Lichtenstein, l’hacker responsabile di uno degli attacchi informatici più grandi mai compiuti contro le criptovalute, appare come un episodio di una serie TV, eppure è assolutamente reale. Dopo essere stato rilasciato,…

Immagine del sitoCyber News
AGI: i CEO di Google e Anthropic lanciano l’allarme a Davos – il mondo non sarà pronto!
Redazione RHC - 24/01/2026

Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…

Immagine del sitoCyber News
Un browser funzionante creato con l’AI con 3 milioni di righe di codice: svolta o illusione?
Redazione RHC - 24/01/2026

Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…

Immagine del sitoCyber News
NoName057(16) colpisce l’Italia 487 volte negli ultimi 3 mesi: l’ondata DDoS non si ferma
Redazione RHC - 24/01/2026

L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…