Tra il 27 e il 29 maggio, le forze di polizia di otto paesi, coordinati da Europol, hanno smantellato diverse botnet durante la prima fase della campagna Operation Endgame. In particolare sono stati chiusi oltre 100 server nel mondo, sequestrati oltre 2.000 domini e arrestate quattro persone (tre in Ucraina e una in Armenia). Le prossime fasi verranno comunicate sul sito ufficiale.
Controllare l’email su Have I Been Pwned
Operation Endgame è al più grande operazione mai effettuata contro le botnet. Sfruttando gli oltre 100 server chiusi in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina, i cybercriminali installavano malware sui computer collegati alle botnet.
L’accesso iniziale è stato ottenuto con i cosiddetti dropper ditribuiti tramite i suddetti server C2C (command and control). Tra i più utilizzati ci sono IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Bumblebee, distribuito principalmente tramite campagne di phishing o siti web compromessi, consente l’installazione di ulteriori payload. SmokeLoader è stato utilizzato principalmente come downloader. IcedID, inizialmente classificato come trojan bancario, è stato ulteriormente sviluppato per eseguire altre attività, oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer, consentendo la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati.
Uno degli arrestati ha guadagnato almeno 69 milioni di euro in criptovalute noleggiando l’infrastruttura ai cybercriminali che distribuiscono ransomware. Le transazioni sono monitorate e presto il denaro verrà sequestrato. Sui server sono stati trovati circa 16,5 milioni di indirizzi email e 13,5 milioni di password. Gli utenti possono verificare se email e password sono finite nelle mani dei cybercriminali sul sito Have I Been Pwned.
Aggiornamento (31/05/2024): la polizia criminale federale della Germania ha rivelato l’identità di 8 cybercriminali russi (sette del gruppo Trickbot e il probabile admin della botnet Smokeloader).