Un’operazione internazionale di forze dell’ordine ha colpito l’infrastruttura dei malware, con l’obiettivo di contrastare botnet e dropper malware, in quella che è stata definita l’operazione più grande mai realizzata.
Un’ampia coalizione di agenzie di polizia internazionali ha portato a termine quella che è stata definita come l’operazione più grande mai realizzata per contrastare le botnet e i dropper malware. L’operazione ha portato alla chiusura o alla limitazione di oltre 100 server, alla confisca di 2000 domini e all’identificazione di quasi 70 milioni di euro guadagnati da uno dei principali sospettati nel caso.
Denominata “Operazione Endgame”, l’azione ha preso di mira i dropper, malware utilizzati per introdurre altri malware in un sistema, ampiamente utilizzati per facilitare una serie di cybercrimini di rilievo, tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot.
Nell’ambito dell’operazione, le autorità hanno effettuato un arresto in Armenia e tre in Ucraina, e otto sospettati collegati alle attività e ricercati dalla Germania saranno aggiunti alla lista dei più ricercati d’Europa, come dichiarato da Europol.
Le autorità statunitensi hanno partecipato all’operazione, insieme ai loro omologhi del Regno Unito, Danimarca, Francia, Germania, Paesi Bassi, Portogallo e Ucraina.
Le autorità, come sempre più spesso accade nelle operazioni di contrasto alla cybercriminalità, hanno puntato molto sulla comunicazione. Hanno creato un sito web, in inglese e russo, che avverte i criminali coinvolti nell’ecosistema dei dropper di agire con cautela.
Il sito include un indirizzo email di contatto e un handle Telegram, oltre a video molto curati, esortando le persone con informazioni a “farsi avanti”.
Nell’ambito dell’operazione, circa 16,5 milioni di indirizzi email e 13,5 milioni di password uniche raccolte dai ceppi di malware presi di mira dalla polizia sono stati condivisi con Have I Been Pwned, un servizio utilizzato per notificare agli utenti che la loro email e le loro password sono state pubblicate o compromesse.
I dropper in questione sono stati collegati a una moltitudine di operazioni di cybercriminalità nel corso degli anni. IcedID, ad esempio, “è stata una presenza quasi costante nelle caselle di posta elettronica dal 2017 fino a quando la botnet è stata volontariamente smantellata dai suoi operatori nel novembre 2023”, e si è evoluta da strumento utilizzato per prendere di mira le istituzioni finanziarie in operazioni di frode a fornire accesso iniziale ai distributori di ransomware.
Uno degli altri, SmokeLoader, è stato “un abilitatore chiave della cybercriminalità per quasi 15 anni”, con vari plugin che permettevano il furto di credenziali, il furto di dati, l’accesso remoto e il lancio di attacchi DDoS.
Don Smith, vicepresidente dell’intelligence sulle minacce del CTU, ha dichiarato in un’email che l’operazione prosegue un “impressionante filone” di abbattimenti da parte delle forze dell’ordine, riferendosi a operazioni recenti come quella contro la gang di ransomware LockBit e i mercati della cybercriminalità.
“Individualmente queste operazioni sono state significative, insieme dimostrano che mentre gli attori malintenzionati possono essere fuori dalla portata dei tribunali, le loro botnet e infrastrutture non lo sono, possono essere compromesse e messe offline”, ha detto. “Non arriveremo mai al nucleo di alcune di queste bande criminali organizzate, ma se possiamo minimizzare l’impatto che hanno riducendo la loro capacità di scalare, la loro capacità di distribuire, allora è una cosa buona”.