Operação Endgame para capturar mentor de ataque
4 de Junho de 2024

Autoridades policiais envolvidas na Operação Endgame estão buscando informações relacionadas a um indivíduo conhecido pelo nome de Odd, que é supostamente o mentor por trás do malware Emotet.

Odd também é conhecido pelos apelidos de Aron, C700, Cbd748, Ivanov Odd, Mors, Morse e Veron ao longo dos últimos anos, segundo um vídeo divulgado pelas agências.

"Com quem ele está trabalhando? Qual é o seu produto atual?", continua o vídeo, sugerindo que ele provavelmente não está agindo sozinho e pode estar colaborando com outros em malwares além do Emotet.

O(s) agente(s) de ameaça por trás do Emotet foi(ram) rastreado(s) pela comunidade de cibersegurança sob os codinomes Gold Crestwood, Mealybug, Mummy Spider e TA542.

Originalmente concebido como um trojan bancário, ele evoluiu para uma ferramenta de propósito mais amplo, capaz de entregar outros payloads, a exemplo de malwares como TrickBot, IcedID, QakBot, entre outros.

Ele ressurgiu no final de 2021, embora como parte de campanhas de baixo volume, seguindo uma operação policial que desativou sua infraestrutura.

Tão recentemente quanto em março de 2023, cadeias de ataque distribuindo uma versão atualizada do malware foram encontradas aproveitando anexos de email do Microsoft OneNote em uma tentativa de burlar restrições de segurança.

Nenhuma nova atividade relacionada ao Emotet foi observada no meio selvagem desde o início de abril de 2023.

O chamado segue um esforço de coordenação abrangente que viu quatro prisões e mais de 100 servidores associados a operações de carregamento de malware como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot derrubados em uma tentativa de erradicar o ecossistema de corretores de acesso inicial (IAB) que alimenta ataques de ransomware.

O Escritório Federal de Polícia Criminal da Alemanha (conhecido como Bundeskriminalamt) também revelou as identidades de oito criminosos cibernéticos que acredita-se terem desempenhado papéis cruciais nas operações dos malwares SmokeLoader e TrickBot.

Todos eles foram adicionados à Lista dos Mais Procurados da UE.

"Todos esses serviços maliciosos estavam no arsenal de organizações de cibercrimes russas como BlackBasta, Revil, Conti e ajudaram-nas a atacar dezenas de empresas ocidentais, incluindo instituições médicas", disse a Polícia Nacional da Ucrânia (NPU) em um comunicado.

Ataques cibernéticos envolvendo as famílias de malware confiaram em contas comprometidas para visar vítimas e propagar emails maliciosos, com os operadores de botnet usando credenciais roubadas obtidas por meio de trojans de acesso remoto (RATs) e ladrões de informações para ganhar acesso inicial a redes e organizações.

Dados compartilhados pela empresa de cibersegurança suíça PRODAFT, na esteira da operação, mostram que atores criminosos em fóruns subterrâneos como XSS.IS estão em alerta, com o moderador – codinome bratva – instando outros a serem cuidadosos e verificar se seus servidores privados virtuais (VPSes) caíram entre 27 e 29 de maio de 2024.

Bratva também foi encontrado compartilhando os nomes das oito pessoas que o Bundeskriminalamt revelou, observando que a Operação Endgame é uma das "consequências abrangentes de logs Conti [ransomware] vazados".

Outros atores recorreram ao fórum para especular quem poderia ter vazado os chats e levantaram a possibilidade de um "rato" que está trabalhando com a aplicação da lei.

Eles também afirmaram que a Romênia e a Suíça não compartilhariam dados sobre atores criminosos residentes dentro de suas fronteiras, a menos que seja uma "ameaça extrema" como terrorismo.

"[O] FBI pode invadir qualquer coisa sob a alegação de ser 'terrorismo'", disse um usuário que usa o alias phant0m.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...