Коалиция международных правоохранительных органов провела, по их словам, «крупнейшую в истории» операцию по противодействию ботнетам и вредоносным программам-дропперам, отключив или нарушив работу более 100 серверов, конфисковав 2000 доменов и выявив почти 70 миллионов евро, заработанных одним из главных подозреваемых по этому делу.
В четверг утром представители Европола объявили , что операция «Эндшпиль» нацелена на дропперов — вредоносное ПО, используемое для внедрения в систему другого вредоносного ПО, — которые широко используются для совершения ряда серьезных киберпреступлений, включая IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot.
В заявлении Европола говорится, что в ходе операции власти произвели один арест в Армении и трое на Украине, а восемь подозреваемых, связанных с преступной деятельностью и разыскиваемых Германией, будут добавлены в список самых разыскиваемых преступников Европы.
Власти Германии опубликовали изображения восьми подозреваемых и заявили, что операция, начавшаяся в 2022 году, направлена на «уничтожение наиболее актуальных семейств вредоносных программ в категории вредоносных программ первоначального доступа (так называемых дропперов или загрузчиков)», согласно машинному переводу.
В операции участвовали правоохранительные органы США, а также коллеги из Великобритании, Дании, Франции, Германии, Нидерландов, Португалии и Украины.
Директор ФБР Кристофер Рэй заявил, что операция демонстрирует «продолжительную борьбу бюро с киберпреступностью и моделями «вредоносное ПО как услуга»».
«Эти вредоносные сервисы заразили миллионы компьютеров и стали причиной атак по всему миру, в том числе на учреждения здравоохранения и объекты критической инфраструктуры», — сказал Рэй. «Борьба с киберпреступностью, не знающей границ, на этом не заканчивается, и ФБР стремится противостоять этой постоянно меняющейся угрозе».
Как это часто бывает при борьбе с киберпреступностью, правоохранительные органы стали уделять больше внимания аспектам обмена сообщениями в своей работе. Веб-сайт, созданный на английском и русском языках, предупреждает преступников, участвующих в экосистеме дропперов, о необходимости проявлять осторожность.
«Мы долгое время расследовали вас и ваши преступные деяния, и мы не остановимся на этом», — говорится на сайте . «Это первый сезон операции «Финал». Следите за новостями. Будет захватывающе. Возможно, не всем. Некоторые результаты можно найти здесь, другие придут к вам другими, неожиданными способами. Не стесняйтесь обращаться к нам, возможно, мы вам понадобимся. Уверены, нам обоим будет полезен откровенный диалог. Вы не первый и не последний. Подумайте о своём следующем шаге».
На сайте был указан контактный адрес электронной почты и имя пользователя в Telegram, а также размещены тщательно подготовленные видеоролики, призывающие людей, обладающих информацией, «обращаться».
Скриншот одного из видеороликов, созданных правоохранительными органами в рамках операции «Эндшпиль» (CyberScoop).
По словам оператора сайта Троя Ханта, в ходе операции около 16,5 миллионов адресов электронной почты и 13,5 миллионов уникальных паролей, собранных вредоносными программами, на которые нацелена полиция, были переданы Have I Been Pwned — сервису, используемому для уведомления пользователей о том, что их адреса электронной почты и пароли были опубликованы или скомпрометированы .
Упомянутые дропперы на протяжении многих лет были связаны с множеством киберпреступных операций. Например, IcedID «практически постоянно присутствовал в электронных почтовых ящиках с середины 2017 года до тех пор, пока ботнет не был добровольно ликвидирован его операторами в ноябре 2023 года», и прошёл путь от использования для атак на финансовые учреждения в мошеннических операциях до предоставления первоначального доступа к распространителям программ-вымогателей, сообщило подразделение по борьбе с угрозами Secureworks в электронном письме CyberScoop в четверг.
По данным CTU, один из них, SmokeLoader, был «ключевым инструментом киберпреступности на протяжении почти 15 лет» с различными плагинами, которые позволяли кражу учетных данных, кражу данных, удаленный доступ и запуск DDoS-атак.
Дон Смит, вице-президент CTU по анализу угроз, сообщил в электронном письме, что операция продолжает «впечатляющую серию» ликвидаций, проводимых правоохранительными органами, имея в виду недавние операции, такие как борьба с бандой, вымогавшей вирусы LockBit , и торговыми площадками киберпреступности.
«По отдельности эти операции были значимыми, но в совокупности они демонстрируют, что, хотя злоумышленники могут быть вне досягаемости судов, их ботнеты и инфраструктура — да, их можно взломать и вывести из строя», — сказал он. «Мы никогда не докопаемся до сути некоторых из этих организованных преступных группировок, но если мы сможем минимизировать их влияние, ограничив их возможности масштабирования и развёртывания, это будет хорошо».
В четверг утром представители Европола объявили , что операция «Эндшпиль» нацелена на дропперов — вредоносное ПО, используемое для внедрения в систему другого вредоносного ПО, — которые широко используются для совершения ряда серьезных киберпреступлений, включая IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot.
В заявлении Европола говорится, что в ходе операции власти произвели один арест в Армении и трое на Украине, а восемь подозреваемых, связанных с преступной деятельностью и разыскиваемых Германией, будут добавлены в список самых разыскиваемых преступников Европы.
Власти Германии опубликовали изображения восьми подозреваемых и заявили, что операция, начавшаяся в 2022 году, направлена на «уничтожение наиболее актуальных семейств вредоносных программ в категории вредоносных программ первоначального доступа (так называемых дропперов или загрузчиков)», согласно машинному переводу.
В операции участвовали правоохранительные органы США, а также коллеги из Великобритании, Дании, Франции, Германии, Нидерландов, Португалии и Украины.
Директор ФБР Кристофер Рэй заявил, что операция демонстрирует «продолжительную борьбу бюро с киберпреступностью и моделями «вредоносное ПО как услуга»».
«Эти вредоносные сервисы заразили миллионы компьютеров и стали причиной атак по всему миру, в том числе на учреждения здравоохранения и объекты критической инфраструктуры», — сказал Рэй. «Борьба с киберпреступностью, не знающей границ, на этом не заканчивается, и ФБР стремится противостоять этой постоянно меняющейся угрозе».
Как это часто бывает при борьбе с киберпреступностью, правоохранительные органы стали уделять больше внимания аспектам обмена сообщениями в своей работе. Веб-сайт, созданный на английском и русском языках, предупреждает преступников, участвующих в экосистеме дропперов, о необходимости проявлять осторожность.
«Мы долгое время расследовали вас и ваши преступные деяния, и мы не остановимся на этом», — говорится на сайте . «Это первый сезон операции «Финал». Следите за новостями. Будет захватывающе. Возможно, не всем. Некоторые результаты можно найти здесь, другие придут к вам другими, неожиданными способами. Не стесняйтесь обращаться к нам, возможно, мы вам понадобимся. Уверены, нам обоим будет полезен откровенный диалог. Вы не первый и не последний. Подумайте о своём следующем шаге».
На сайте был указан контактный адрес электронной почты и имя пользователя в Telegram, а также размещены тщательно подготовленные видеоролики, призывающие людей, обладающих информацией, «обращаться».
По словам оператора сайта Троя Ханта, в ходе операции около 16,5 миллионов адресов электронной почты и 13,5 миллионов уникальных паролей, собранных вредоносными программами, на которые нацелена полиция, были переданы Have I Been Pwned — сервису, используемому для уведомления пользователей о том, что их адреса электронной почты и пароли были опубликованы или скомпрометированы .
Упомянутые дропперы на протяжении многих лет были связаны с множеством киберпреступных операций. Например, IcedID «практически постоянно присутствовал в электронных почтовых ящиках с середины 2017 года до тех пор, пока ботнет не был добровольно ликвидирован его операторами в ноябре 2023 года», и прошёл путь от использования для атак на финансовые учреждения в мошеннических операциях до предоставления первоначального доступа к распространителям программ-вымогателей, сообщило подразделение по борьбе с угрозами Secureworks в электронном письме CyberScoop в четверг.
По данным CTU, один из них, SmokeLoader, был «ключевым инструментом киберпреступности на протяжении почти 15 лет» с различными плагинами, которые позволяли кражу учетных данных, кражу данных, удаленный доступ и запуск DDoS-атак.
Дон Смит, вице-президент CTU по анализу угроз, сообщил в электронном письме, что операция продолжает «впечатляющую серию» ликвидаций, проводимых правоохранительными органами, имея в виду недавние операции, такие как борьба с бандой, вымогавшей вирусы LockBit , и торговыми площадками киберпреступности.
«По отдельности эти операции были значимыми, но в совокупности они демонстрируют, что, хотя злоумышленники могут быть вне досягаемости судов, их ботнеты и инфраструктура — да, их можно взломать и вывести из строя», — сказал он. «Мы никогда не докопаемся до сути некоторых из этих организованных преступных группировок, но если мы сможем минимизировать их влияние, ограничив их возможности масштабирования и развёртывания, это будет хорошо».
