A Europol disse na quinta-feira que fechou a infraestrutura associada a várias operações de carregamento de malware, como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot como parte de um esforço coordenado de aplicação da lei com o codinome Operação Fim de Jogo.
“As ações centraram-se na interrupção dos serviços criminosos através da detenção de alvos de alto valor, da destruição de infraestruturas criminosas e do congelamento de receitas ilegais”, afirmou a Europol num comunicado. “O malware (…) facilitou ataques com ransomware e outros softwares maliciosos.”
A ação, que ocorreu entre 27 e 29 de maio, resultou no desmantelamento de mais de 100 servidores em todo o mundo e na prisão de quatro pessoas, uma na Arménia e três na Ucrânia, na sequência de buscas em 16 locais na Arménia, Países Baixos, Portugal, e Ucrânia.
Os servidores, segundo a Europol, estavam localizados na Bulgária, Canadá, Alemanha, Lituânia, Holanda, Roménia, Suíça, Ucrânia, Reino Unido e Estados Unidos. Mais de 2.000 domínios foram confiscados pelas autoridades.
Um dos principais suspeitos teria arrecadado pelo menos 69 milhões de euros (74,6 milhões de dólares) alugando websites de infraestrutura criminosa para implantar ransomware.
“Através das chamadas técnicas de ‘sinkholing’ ou da utilização de ferramentas para aceder aos sistemas dos operadores por detrás do malware, os investigadores conseguiram bloquear e derrubar as botnets”, afirmou a Eurojust.
Separadamente, as autoridades alemãs pretendem a prisão de sete pessoas associadas a uma organização criminosa cujo objetivo period espalhar o malware TrickBot. Uma oitava pessoa é suspeita de ser um dos líderes do grupo por trás do SmokeLoader.
Segurança corporativa A Proofpoint disse ao The Hacker Information que compartilhou informações com as autoridades sobre a infraestrutura da botnet, bem como o funcionamento interno dos artefatos de malware, “identificando padrões em como os atores da ameaça configuram seus servidores”.
Loaders, também conhecidos como droppers, são softwares maliciosos projetados para obter acesso inicial e entregar cargas adicionais em sistemas comprometidos, incluindo variantes de ransomware. Eles normalmente são propagados por meio de campanhas de phishing, websites comprometidos ou agrupados com softwares populares.
“Os droppers são projetados para evitar a detecção por software program de segurança”, disse a Europol. “Eles podem usar métodos como ofuscar seu código, executá-lo na memória sem salvá-lo em disco ou personificar processos de software program legítimos”.
“Depois de implantar o malware adicional, o dropper pode permanecer inativo ou remover-se para evitar a detecção, deixando a carga útil para realizar as atividades maliciosas pretendidas.”
A agência descreveu as remoções como a maior operação de sempre contra botnets, envolvendo autoridades da Arménia, Bulgária, Dinamarca, França, Alemanha, Lituânia, Países Baixos, Portugal, Roménia, Suíça, Ucrânia, Reino Unido e Estados Unidos.
“A aplicação da lei continua sua impressionante série de operações de remoção com uma operação impressionante contra o ecossistema do carregador”, disse Don Smith, vice-presidente de Inteligência de Ameaças da Secureworks Counter Menace Unit (CTU), em comunicado compartilhado com o The Hacker Information.
“Individualmente, estas operações têm sido significativas e, em conjunto, demonstram que, embora os agentes maliciosos possam estar fora do alcance dos tribunais, as suas botnets e infraestruturas não, podem ser comprometidas e colocadas offline”.
“Nunca chegaremos ao cerne de algumas dessas gangues do crime organizado, mas se pudermos minimizar o impacto que elas têm, reduzindo sua capacidade de escala, sua capacidade de implantação, então isso é uma coisa boa”.
(A história foi atualizada após a publicação com comentários adicionais da Proofpoint e Secureworks.)
