As autoridades responsáveis pela Operação Endgame estão em busca de informações relacionadas a um indivíduo chamado Odd, que é supostamente o mentor por trás do malware Emotet.

Odd também é conhecido pelos apelidos Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron nos últimos anos, de acordo com um vídeo lançado pelas agências.

“Com quem ele está trabalhando? Qual é o produto atual dele?”, continua o vídeo, sugerindo que provavelmente ele não está agindo sozinho e pode estar colaborando com outras pessoas em malwares além do Emotet.

Os atores de ameaça por trás do Emotet têm sido rastreados pela comunidade de segurança cibernética sob os nomes Gold Crestwood, Mealybug, Mummy Spider e TA542.

Originalmente concebido como um trojan bancário, ele evoluiu para uma ferramenta de propósito mais amplo capaz de entregar outras cargas úteis, ao longo das linhas de malwares como TrickBot, IcedID, QakBot e outros. Ele ressurgiu no final de 2021, embora como parte de campanhas de baixo volume, após uma operação policial que fechou sua infraestrutura.

Mesmo em março de 2023, correntes de ataque distribuindo uma versão atualizada do malware foram encontradas para usar anexos de e-mail do Microsoft OneNote para tentar evitar restrições de segurança. Nenhuma nova atividade relacionada ao Emotet foi observada desde o início de abril de 2023.

A chamada segue um esforço de coordenação amplo que resultou em quatro prisões e mais de 100 servidores associados a operações de carregamento de malwares como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot derrubados em um esforço para eliminar o ecossistema de intermediários de acesso inicial (IAB) que alimenta ataques de ransomware.

O Escritório Federal de Polícia Criminal da Alemanha (Bundeskriminalamt) também revelou as identidades de oito criminosos cibernéticos que se acredita terem desempenhado papéis cruciais nas operações de malwares SmokeLoader e Trickbot. Todos eles foram adicionados à Lista de Procurados da UE.

“Todos esses serviços maliciosos estavam no arsenal de organizações criminosas cibernéticas russas como BlackBasta, Revil, Conti e os ajudaram a atacar dezenas de empresas ocidentais, incluindo instituições médicas”, disse a Polícia Nacional da Ucrânia (NPU) em um comunicado.

Ataques cibernéticos envolvendo as famílias de malwares têm contado com contas comprometidas para alvejar vítimas e propagar e-mails maliciosos, com os operadores de botnets usando credenciais roubadas obtidas com cavalos de Troia de acesso remoto (RATs) e ladrões de informações para obter acesso inicial em redes e organizações.

Dados compartilhados pela empresa suíça de segurança cibernética PRODAFT com o The Hacker News após a operação mostram que atores criminosos em fóruns underground como XSS.IS estão em alerta, com o moderador – codinome bratva – instando outros a terem cuidado e verificar se seus servidores virtuais privados (VPSes) caíram entre 27 e 29 de maio, 2024.

Bratva também foi encontrado compartilhando os nomes das oito pessoas que o Bundeskriminalamt revelou, enquanto observava que a Operação Endgame é uma das “consequências prolongadas dos logs vazados do Conti [ransomware]”.

Outros atores foram ao fórum especular sobre quem poderia ter vazado as conversas e levantaram a possibilidade de um “rato” que está colaborando com as autoridades. Eles também afirmaram que Romênia e Suíça não compartilhariam dados sobre atores criminosos residentes dentro de suas fronteiras, a menos que seja uma “ameaça extrema” como o terrorismo.

“[O] FBI pode invadir qualquer coisa alegando que é ‘terrorismo,” disse um usuário que atende pelo nome de phant0m.