Tra il 27 e il 29 maggio 2024 è stata messa in atto un'operazione internazionale di contrasto al crimine informatico denominata Operation Endgame. L'impresa è stata coordinata dall'Europol e ha colpito vari botnet e i loro operatori. L'obiettivo principale dell'operazione era colpire i malware droppers come IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot.
L'azione congiunta ha coinvolto le autorità di diversi paesi, tra cui Paesi Bassi, Germania, Francia, Danimarca, Stati Uniti e Regno Unito, con il supporto di Europol ed Eurojust. Inoltre, polizia e forze dell'ordine di Ucraina, Svizzera, Armenia, Portogallo, Romania, Canada, Lituania e Bulgaria hanno partecipato all'arresto o all'interrogatorio dei sospetti, alle perquisizioni e al sequestro e allo spegnimento dei server coinvolti.
I ransomware diffusi dalle botnet sono elementi essenziali nella catena d'attacco: fungono da loaders per ulteriori payloads e in alcuni casi sono utilizzati per attività post-sfruttamento come l'escalation dei privilegi, il riconoscimento e il furto di credenziali. L'obiettivo dell'operazione era quello di distruggere i servizi criminali arrestando individui chiave, smantellando le infrastrutture e congelando i proventi illeciti.
L'Europol ha dichiarato che questa operazione ha avuto un impatto globale sull'ecosistema dei dropper, che facilitava gli attacchi di ransomware e altri attacchi malevoli.
A seguito dell'operazione, otto ricercati legati a queste attività saranno aggiunti alla lista dei più ricercati d'Europa il 30 maggio 2024. L'indagine su larga scala, guidata da Francia, Germania e Paesi Bassi e supportata da Eurojust, ha coinvolto molteplici paesi e partner privati. Le azioni coordinate hanno portato a:
- 4 arresti (1 in Armenia e 3 in Ucraina)
- 16 perquisizioni (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
- Oltre 100 server abbattuti o disattivati in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina
- Oltre 2000 domini sotto il controllo delle forze dell'ordine
Inoltre, nell'ambito delle indagini effettuate finora, è stato scoperto che uno dei principali sospetti ha guadagnato almeno 69 milioni di euro in criptovaluta affittando infrastrutture criminali per distribuire ransomware. Le transazioni del sospetto sono costantemente monitorate e il permesso legale per sequestrare questi beni è stato già ottenuto.
I droppers sono utilizzati per installare altri malware nei sistemi bersaglio. Rappresentano la prima fase di un attacco informatico, permettendo agli aggressori di distribuire programmi nocivi come virus, ransomware o spyware.
Ecco alcune delle botnet colpite dall'operazione:
- SystemBC: facilita la comunicazione anonima tra i sistemi infetti e i server di comando e controllo.
- Bumblebee: distribuito tramite campagne di phishing o siti web compromessi, consente la consegna e l'esecuzione di ulteriori payloads.
- SmokeLoader: utilizzato principalmente come downloader per installare ulteriori software malevoli.
- IcedID (BokBot): inizialmente trojan bancario, ora utilizzato per vari crimini informatici, incluso il furto di dati finanziari.
- Pikabot: un trojan che fornisce accesso iniziale ai computer infetti, permettendo distribuzioni di ransomware, takeover remoti e furti di dati.
"Operation Endgame non termina oggi. Nuove azioni saranno annunciate sul sito web Operation Endgame. Inoltre, i sospetti coinvolti in questi e altri botnet che non sono stati ancora arrestati saranno chiamati direttamente a rispondere delle loro azioni. Sospetti e testimoni troveranno informazioni su come mettersi in contatto tramite questo sito web,"
Tuttavia, le attività criminali dietro le botnet target sono ancora in corso, avverte Rohit Bansal, un esperto del settore conosciuto come "R.", segnalando un server ancora attivo che diffonde il malware SystemBC.