Uma operação internacional de aplicação da lei, codinome 'Synergia', derrubou mais de 1300 servidores de comando e controle usados em ransomware, phishing e campanhas de malware.
Servidores de comando e controle (C2) são dispositivos operados por ameaças para controlar malware usado em seus ataques e para coletar informações enviadas de dispositivos infectados.
Esses servidores permitem que as ameaças enviem payloads adicionais ou comandos para serem executados em dispositivos infectados, tornando-os arquitetura integral em muitos ataques.
Para alguns malwares, tirar um servidor de comando e controle do ar impede atividades maliciosas futuras, pois as ameaças não podem enviar ou receber dados dos dispositivos infectados.
A operação Synergia identificou e derrubou servidores de comando e controle entre setembro e novembro de 2023, com 60 agências da lei de 55 países participando da operação.
Como resultado desta ação, a polícia identificou 1.300 endereços IP do servidor C2 ligados a campanhas de ransomware, malware e phishing.
A Interpol diz que cerca de 70% dos servidores de comando e controle (C2) identificados durante a operação foram derrubados, o que constitui uma interrupção significativa para os cibercriminosos.
A maioria desses servidores estava localizada na Europa, enquanto um número notável também foi encontrado em Singapura e Hong Kong.
Na África, a maioria das atividades ocorreu no Sudão do Sul e no Zimbábue, e nas Américas, operações de malware foram encontradas e desmontadas na Bolívia.
Além disso, como resultado da Synergia, as autoridades policiais detiveram 31 indivíduos suspeitos de estarem ligados às operações de cibercrime e identificaram outros 70 suspeitos.
As autoridades também realizaram 30 buscas domiciliares e confiscaram itens que podem ajudar nas investigações subsequentes.
"Os resultados desta operação, alcançados através dos esforços coletivos de vários países e parceiros, mostram nosso compromisso inabalável de salvaguardar o espaço digital", afirmou Bernardo Pillot, Diretor Assistente de Combate à Cibercriminalidade da Interpol.
"Ao desmantelar a infraestrutura por trás de ataques de phishing, malware bancário e ransomware, estamos um passo mais perto de proteger nossos ecossistemas digitais e uma experiência online mais segura para todos."
A empresa de ciberinteligência Group-IB, que participou da operação fornecendo dados cruciais para as investigações, informa que mais de 1.900 endereços IP associados a operações de ransomware, trojan bancário e malware foram identificados desta vez.
O Group-IB disse que os 30% restantes dos servidores que ainda não foram desativados estão atualmente sob investigação por seu papel nas operações de cibercrime.
Outros parceiros de ciberinteligência que participaram da Synergia são Kaspersky, Trend Micro, Shadowserver e Team Cymru.
Desativar servidores C2 é um passo significativo na interrupção das atividades de cibercrime, pois eles são componentes cruciais em operações botnet, exfiltração de dados, busca de payloads, coordenação de ataque, execução de comando remoto e muito mais.
Além disso, a apreensão de servidores pode frequentemente ajudar a reunir inteligência que pode ser crucial para continuar as investigações sobre operações específicas de cibercrime.
No entanto, a desativação de servidores C2 nem sempre é eficaz.
Por exemplo, botnets ponto a ponto projetadas para serem resistentes podem se recuperar rapidamente de tais interrupções, enquanto atuantes de ransomware podem mudar para o uso de domínios e servidores de backup.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...