Na última fase da Operation Endgame, uma operação internacional de aplicação da lei, autoridades nacionais de sete países apreenderam 300 servidores e 650 domínios usados para lançar ataques de ransomware.
"De 19 a 22 de maio, as autoridades desativaram cerca de 300 servidores em todo o mundo, neutralizaram 650 domínios e emitiram mandados de prisão internacionais contra 20 alvos, desferindo um golpe direto na cadeia de morte do ransomware", segundo o site oficial da ação conjunta.
Além disso, EUR 3,5 milhões em criptomoeda foram apreendidos durante a semana de ação, elevando o total apreendido durante a Operation Endgame para EUR 21,2 milhões.
Juntamente com parceiros do setor privado, autoridades coordenadas pela Europol e Eurojust visaram múltiplas operações de cibercrime, incluindo Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot e Warmcookie.
Essas variantes de malware são frequentemente fornecidas como um serviço para outros cibercriminosos e são usadas para obter acesso às redes das vítimas visadas em ataques de ransomware.
"Esta nova fase demonstra a capacidade da aplicação da lei de se adaptar e atacar novamente, mesmo quando os cibercriminosos se reequipam e se reorganizam", adicionou Catherine De Bolle, diretora-executiva da Europol.
Ao interromper os serviços dos quais os criminosos dependem para implantar ransomware, estamos quebrando a cadeia de morte na sua fonte.
Na quinta-feira(22), o Departamento de Justiça dos EUA também revelou acusações contra 16 réus supostamente parte de uma gangue de cibercrime russa que controlava a operação do malware DanaBot.
As autoridades dos EUA nomearam oito dos 16 nacionais russos indiciados (Aleksandr Stepanov, Artem Aleksandrovich Kalinkin, Danil Khalitov, Aleksey Efremov, Kamil Sztugulewski, Ibrahim Idowu, Artem Shubin e Aleksey Khudiakov), enquanto os outros oito foram mencionados pelos seus pseudônimos.
Segundo uma queixa, eles usaram o botnet para implantar payloads de malware adicionais, incluindo ransomware, e infectaram mais de 300.000 computadores globalmente, causando danos que excedem $50 milhões.
O malware DanaBot está ativo desde 2018, opera em um modelo de malware-as-a-service e permite que os administradores aluguem acesso ao seu botnet e ferramentas de suporte por milhares de dólares por mês.
O malware também pode sequestrar sessões bancárias, roubar dados e históricos de navegação, e fornecer acesso remoto total a sistemas comprometidos, permitindo o registro de teclas e a gravação de vídeo das atividades do usuário.
Os admins do DanaBot também usaram uma segunda versão deste botnet para fins de ciberespionagem, visando organizações militares, diplomáticas e governamentais.
"Esta versão do botnet registrou todas as interações com o computador e enviou dados roubados para um servidor diferente da versão orientada para fraude do DanaBot", disse o Departamento de Justiça.
Esta variante teria sido usada para visar diplomatas, pessoal de aplicação da lei e membros das forças armadas na América do Norte e na Europa.
A ação desta semana segue várias outras fases da Operation Endgame, incluindo a apreensão de mais de 100 servidores hospedando mais de 2.000 domínios usados por várias operações de loaders de malware, incluindo IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC.
Desde então, agentes da aplicação da lei também prenderam um especialista em criptografia de ransomware Conti e LockBit em junho de 2024, que ajudou a tornar o malware indetectável por software antivírus.
Em abril, a polícia também rastreou os clientes do botnet Smokeloader e deteve pelo menos cinco indivíduos usando inteligência obtida após a apreensão de um banco de dados contendo informações sobre cibercriminosos que pagaram por assinaturas de Smokeloader.
Esta semana, o nacional russo Rustam Rafailevich Gallyamov, líder da operação de malware Qakbot que comprometeu mais de 700.000 computadores e possibilitou ataques de ransomware, também foi indiciado nos Estados Unidos.
Além disso, aproximadamente 2.300 domínios foram apreendidos no início deste mês em uma ação liderada pela Microsoft para interromper a operação do malware-as-a-service (MaaS) Lumma, voltado ao roubo de informações.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...