Η Europol ανακοίνωσε την Πέμπτη ότι κατήργησε την υποδομή πολλών λειτουργιών loader κακόβουλου λογισμικού (malware), όπως τα IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee και TrickBot.
Αυτή η ενέργεια ήταν μέρος μιας συντονισμένης προσπάθειας επιβολής του νόμου με την ονομασία Operation Endgame.
Διαβάστε περισσότερα: Η Apple κυκλοφορεί κρίσιμα updates μετά την επίθεση από hackers
«Οι ενέργειες επικεντρώθηκαν στη διάλυση των εγκληματικών υπηρεσιών μέσω της σύλληψης υψηλής αξίας στόχων, της κατάρριψης των εγκληματικών υποδομών και της δέσμευσης των παράνομων εσόδων», ανέφερε η Europol σε δήλωση. «Το κακόβουλο λογισμικό […] διευκόλυνε επιθέσεις με ransomware και άλλο κακόβουλο λογισμικό».
Η επιχείρηση, που διεξήχθη από τις 27 έως τις 29 Μαΐου, οδήγησε στην αποσυναρμολόγηση πάνω από 100 servers παγκοσμίως και στη σύλληψη τεσσάρων ατόμων: ενός στην Αρμενία και τριών στην Ουκρανία. Οι συλλήψεις πραγματοποιήθηκαν έπειτα από έρευνες σε 16 τοποθεσίες στην Αρμενία, την Ολλανδία, την Πορτογαλία και την Ουκρανία.
Οι servers, σύμφωνα με την Europol, βρίσκονταν στη Βουλγαρία, τον Καναδά, τη Γερμανία, τη Λιθουανία, την Ολλανδία, τη Ρουμανία, την Ελβετία, την Ουκρανία, το Ηνωμένο Βασίλειο και τις Ηνωμένες Πολιτείες. Περισσότεροι από 2.000 domains έχουν κατασχεθεί από τις αρχές επιβολής του νόμου.
Ένας από τους βασικούς ύποπτους φέρεται να έχει αποκομίσει τουλάχιστον 69 εκατομμύρια ευρώ νοικιάζοντας τοποθεσίες εγκληματικής υποδομής για την ανάπτυξη ransomware.
«Μέσω των αποκαλούμενων τεχνικών «sinkholing» ή της χρήσης εργαλείων για πρόσβαση στα συστήματα των χειριστών πίσω από το κακόβουλο λογισμικό, οι ερευνητές κατάφεραν να μπλοκάρουν και να καταργήσουν τα botnet», ανέφερε η Eurojust.
Οι αρχές επιδιώκουν τη σύλληψη επτά ατόμων που σχετίζονται με μια εγκληματική οργάνωση, η οποία είχε ως στόχο τη διάδοση του κακόβουλου λογισμικού TrickBot. Ένα όγδοο άτομο θεωρείται ύποπτο ότι είναι ένας από τους ηγέτες της ομάδας πίσω από το SmokeLoader.
Τα Loaders, γνωστά και ως droppers, είναι κακόβουλο λογισμικό που έχει σχεδιαστεί για να αποκτά αρχική πρόσβαση και να παρέχει πρόσθετα ωφέλιμα φορτία σε παραβιασμένα συστήματα, συμπεριλαμβανομένων παραλλαγών ransomware. Συνήθως εξαπλώνονται μέσω phishing εκστρατειών, παραβιασμένων ιστοσελίδων ή συνοδεύουν δημοφιλή λογισμικά.
«Τα droppers έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό από το λογισμικό ασφαλείας», σύμφωνα με τη Europol. «Μπορεί να χρησιμοποιήσουν τεχνικές όπως η συσκότιση του κώδικά τους, η εκτέλεση στη μνήμη χωρίς αποθήκευση στον δίσκο ή η μίμηση νόμιμων διαδικασιών λογισμικού».
Δείτε ακόμη: Εξαρθρώθηκε η σπείρα που διέδιδε το Ransomware
Μετά την εγκατάσταση του πρόσθετου κακόβουλου λογισμικού, το dropper μπορεί είτε να παραμείνει ανενεργό είτε να αφαιρεθεί για να αποφύγει τον εντοπισμό του. Με αυτό τον τρόπο, το ωφέλιμο φορτίο εκτελεί τις κακόβουλες δραστηριότητές του χωρίς εμπόδιo.
Η δράση αυτή χαρακτηρίστηκε ως η μεγαλύτερη επιχείρηση κατά των botnet που έχει πραγματοποιηθεί ποτέ, με τη συμμετοχή των αρχών από την Αρμενία, τη Βουλγαρία, τη Δανία, τη Γαλλία, τη Γερμανία, τη Λιθουανία, την Ολλανδία, την Πορτογαλία, τη Ρουμανία, την Ελβετία, την Ουκρανία, το Ηνωμένο Βασίλειο και τις Ηνωμένες Πολιτείες.
Πηγή: thehackernews
, όπως τα IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee και TrickBot.){kind=link}