A Europol afirmou na quinta-feira que fechou a infraestrutura associada a várias operações de carregadores de malware, como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot como parte de um esforço coordenado das forças policiais, codinome Operação Endgame.
“As ações se concentraram em perturbar serviços criminais por meio da prisão de Alvos de Alto Valor, derrubando as infraestruturas criminais e congelando os lucros ilegais”, disse a Europol em um comunicado. “O malware facilitou ataques com ransomware e outros softwares maliciosos.”
A ação, que ocorreu entre 27 e 29 de maio, resultou na desmontagem de mais de 100 servidores em todo o mundo e na prisão de quatro pessoas, uma na Armênia e três na Ucrânia, após buscas em 16 locais na Armênia, Holanda, Portugal e Ucrânia.
Os servidores, de acordo com a Europol, estavam localizados na Bulgária, Canadá, Alemanha, Lituânia, Países Baixos, Romênia, Suíça, Ucrânia, Reino Unido e Estados Unidos. Mais de 2.000 domínios foram confiscados pelas forças policiais.
Um dos principais suspeitos é acusado de ter obtido pelo menos € 69 milhões ($ 74,6 milhões) alugando sites de infraestrutura criminosa para implantação de ransomware.
“Por meio de técnicas de ‘sinkholing’ ou do uso de ferramentas para acessar os sistemas dos operadores por trás do malware, os investigadores conseguiram bloquear e desmontar as botnets”, disse o Eurojust.
Separadamente, as autoridades alemãs estão buscando a prisão de sete pessoas associadas a uma organização criminosa cujo objetivo era espalhar o malware TrickBot. Uma oitava pessoa é suspeita de ser um dos líderes do grupo por trás do SmokeLoader.
A Proofpoint, empresa de segurança empresarial, disse ao The Hacker News que compartilhou informações com as forças policiais sobre a infraestrutura da botnet, bem como o funcionamento interno dos artefatos de malware, “identificando padrões na configuração de seus servidores.”
Carregadores, também conhecidos como droppers, são softwares maliciosos projetados para obter acesso inicial e entregar cargas úteis adicionais em sistemas comprometidos, incluindo variantes de ransomware. Eles geralmente são propagados por meio de campanhas de phishing, sites comprometidos ou incluídos em softwares populares.
“Os droppers são projetados para evitar a detecção pelo software de segurança”, disse a Europol. “Eles podem usar métodos como obscurecer seu código, rodar na memória sem salvar no disco ou se passar por processos de software legítimos.”
As operações são descritas como a maior operação já feita contra botnets, envolvendo autoridades de diversos países.
“A aplicação da lei continua com uma impressionante sequência de operações de derrubada com uma impressionante operação contra o ecossistema de carregadores”, disse Don Smith, vice-presidente de Inteligência de Ameaças da Unidade de Ameaças Contra-Inteligência da Secureworks (CTU), em um comunicado.
“Individualmente, essas operações têm sido significativas, em conjunto demonstram que, embora os malfeitores possam estar fora do alcance dos tribunais, suas botnets e infraestrutura não estão, elas podem ser comprometidas e tiradas do ar.”
“Nunca chegaremos ao âmago de algumas dessas gangues criminosas organizadas, mas se pudermos minimizar o impacto que elas têm reduzindo sua capacidade de escalar, sua capacidade de implantar, então isso é algo bom.”
