As autoridades responsáveis pela aplicação da lei por trás da Operação Endgame estão buscando informações relacionadas a um indivíduo chamado Odd e que é supostamente o mentor do malware Emotet.
Diz-se também que Odd atende pelos apelidos Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron nos últimos anos, de acordo com vídeo divulgado pelas agências.
“Com quem ele está trabalhando? Qual é o seu produto atual?”, Continua o vídeo, sugerindo que ele provavelmente não está agindo sozinho e pode estar colaborando com outras pessoas em outros malwares além do Emotet.
Os atores de ameaça por trás do Emotet foram rastreados pela comunidade de segurança cibernética sob os nomes Gold Crestwood, Mealybug, Mummy Spider e TA542.
Originalmente concebido como um trojan bancário, ele evoluiu para uma ferramenta de propósito mais amplo, capaz de entregar outras cargas úteis, nos moldes de malware como TrickBot, IcedID, QakBot e outros. Ressurgiu no last de 2021, embora como parte de campanhas de baixo quantity, na sequência de uma operação policial que encerrou a sua infraestrutura.
Recentemente, em março de 2023, descobriu-se que cadeias de ataque que distribuíam uma versão atualizada do malware aproveitavam anexos de e-mail do Microsoft OneNote na tentativa de contornar as restrições de segurança. Nenhuma nova atividade relacionada ao Emotet foi observada na natureza desde o início de abril de 2023.
A chamada segue um amplo esforço de coordenação que viu quatro prisões e mais de 100 servidores associados a operações de carregamento de malware, como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot, derrubados em um esforço para eliminar o ecossistema do corretor de acesso inicial (IAB). que alimenta ataques de ransomware.
A Polícia Prison Federal da Alemanha (também conhecida como Bundeskriminalamt) também revelou as identidades de oito criminosos cibernéticos que se acredita terem desempenhado papéis cruciais nas operações de malware SmokeLoader e Trickbot. Desde então, todos eles foram adicionados à lista dos mais procurados da UE.
“Todos esses serviços maliciosos estavam no arsenal de organizações russas de crimes cibernéticos como BlackBasta, Revil, Conti e os ajudaram a atacar dezenas de empresas ocidentais, incluindo instituições médicas”, disse a Polícia Nacional da Ucrânia (NPU) em comunicado.
Os ataques cibernéticos envolvendo famílias de malware têm se baseado em contas comprometidas para atingir vítimas e propagar e-mails maliciosos, com os operadores de botnets usando credenciais roubadas obtidas por meio de trojans de acesso remoto (RATs) e ladrões de informações para obter acesso inicial a redes e organizações.
Dados compartilhados pela empresa suíça de segurança cibernética PRODAFT com o The Hacker Information após a operação mostram que atores criminosos em fóruns clandestinos como o XSS.IS estão em alerta, com o moderador – codinome bratva – pedindo aos outros que tenham cuidado e verifiquem se seus dados privados virtuais servidores (VPSes) caíram entre 27 e 29 de maio de 2024.
Bratva também foi encontrada compartilhando os nomes das oito pessoas que o Bundeskriminalamt revelou, ao mesmo tempo em que observou que a Operação Endgame é uma das “consequências de longo prazo do vazamento de registros de Conti (ransomware)”.
Outros atores foram ao fórum para se perguntar em voz alta quem poderia ter vazado as conversas e levantaram a possibilidade de um “rato” que está trabalhando com as autoridades. Afirmaram também que a Roménia e a Suíça não partilhariam dados sobre actores criminosos residentes dentro das suas fronteiras, a menos que se tratasse de uma “ameaça extrema” como o terrorismo.
“(O) FBI pode invadir qualquer coisa dizendo que é (sic) ‘terrorismo’”, disse um usuário que usa o pseudônimo phant0m.
