Europol anunciou nesta quinta-feira que desativou a infraestrutura associada a diversas operações de carga de malware, como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot, como parte de um esforço coordenado de aplicação da lei denominado Operação Endgame.

“A ação focou em perturbar serviços criminosos através da prisão de Alvos de Alto Valor, derrubando as infraestruturas criminosas e congelando os lucros ilegais,” disse a Europol em um comunicado. “O malware facilitou ataques com ransomware e outros softwares maliciosos.”

A ação, realizada entre 27 e 29 de maio, resultou na desmontagem de mais de 100 servidores em todo o mundo e na prisão de quatro pessoas, uma na Armênia e três na Ucrânia, após buscas em 16 locais na Armênia, Holanda, Portugal e Ucrânia.

Os servidores, segundo a Europol, estavam localizados na Bulgária, Canadá, Alemanha, Lituânia, Holanda, Romênia, Suíça, Ucrânia, Reino Unido e Estados Unidos. Mais de 2.000 domínios foram confiscados pelas autoridades.

Um dos principais suspeitos é acusado de ter arrecadado pelo menos €69 milhões ($74.6 milhões) alugando infraestruturas criminosas para implantação de ransomware.

“Por meio de técnicas de ‘sinkholing’ ou uso de ferramentas para acessar os sistemas dos operadores por trás do malware, os investigadores conseguiram bloquear e derrubar as botnets,” disse a Eurojust.

Separadamente, as autoridades alemãs estão buscando a prisão de sete pessoas associadas a uma organização criminosa cujo objetivo era espalhar o malware TrickBot. Uma oitava pessoa é suspeita de ser um dos líderes do grupo por trás do SmokeLoader.

De acordo com o FBI dos Estados Unidos, os grupos de malware infectaram milhões de computadores ao redor do mundo, incluindo uma rede hospitalar não identificada, que “não só custou milhões de dólares, mas preocupantemente colocou a vida das pessoas em risco devido ao sistema de cuidados críticos comprometido online.”