Operațiunea Endgame, coordonată de la sediul Europol, și desfășurată între 27 și 29 mai 2024, a vizat grupările de hackeri care utilizau programe malware precum IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee și Trickbot. Aceasta este cea mai mare operațiune de până acum împotriva rețelelor de boți, care joacă un rol major în desfășurarea atacurilor ransomware.
Operațiunea, inițiată și condusă de Franța, Germania și Olanda, a beneficiat de sprijinul Eurojust și a implicat Danemarca, Regatul Unit și Statele Unite. De asemenea, Armenia, Bulgaria, Lituania, Portugalia, România, Elveția și Ucraina au susținut operațiunea prin diverse acțiuni, precum arestări, interogarea suspecților, percheziții și confiscări de servere și domenii.
Operațiunea a fost susținută și de numeroși parteneri privați la nivel național și internațional, inclusiv Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, DIVD, abuse.ch și Zscaler.
Fiind primii pe lista partenerilor privați, am cerut un punct de vedere de la Bitdefender și iată ce au declarat pentru ZonaIT: ”În cadrul operațiunii Endgame, specialiștii în securitate informatică de la Bitdefender au oferit anchetatorilor asistență tehnică pe toată durata investigației, date din telemetria globală a Bitdefender, precum și alte informații care să ajute autoritățile la identificarea infractorilor.”
Operațiunea Endgame în cifre
Acțiunile au implicat:
- 4 arestări (una în Armenia și trei în Ucraina);
- 8 fugari legați de aceste activități criminale, căutați de Germania, vor fi adăugați pe lista celor mai căutate persoane din Europa;
- 16 percheziții (una în Armenia, una în Olanda, trei în Portugalia și unsprezece în Ucraina);
- Peste 100 de servere dezafectate în Bulgaria, Canada, Germania, Lituania, Olanda, România, Elveția, Regatul Unit, Statele Unite și Ucraina;
- Peste 2.000 de domenii au intrat sub controlul forțelor de ordine;
- Unul dintre principalii suspecți a câștigat cel puțin 69 de milioane de euro în criptomonede prin închirierea infrastructurilor criminale pentru a desfășura atacuri cu ransomware. Tranzacțiile suspectului sunt monitorizate constant și s-a obținut permisiunea legală de a confisca aceste active în viitoarele acțiuni.
În cadrul Operațiunii Endgame, autoritățile internaționale au vizat și atacat rețelele de boți și infrastructurile criminale care utilizau programe malware, inclusiv droppers. Aceste droppers sunt folosite pentru a instala alte programe malițioase pe sistemele țintă, facilitând atacuri cu ransomware și alte forme de malware. Prin întreruperea acestor droppers, Operațiunea Endgame a reușit să reducă semnificativ capacitatea grupurilor criminale de a desfășura atacuri cibernetice.
Europol spune că Operațiunea Endgame nu se încheie aici și că noi acțiuni vor fi anunțate pe website-ul dedicat. Acolo e și un cronometru, care după calculele mele ajunge la 0 pe 5 iunie dimineața. Chiar sunt curios ce va urma.
Fără a minimiza în vreun fel succesul ”celei mai mari acțiuni împotriva rețelelor de boți din istorie” mă întreb dacă vreun organizator a știut că Operation: Endgame este și numele unei comedii negre de acțiune din 2010 sau chiar a fost ales intenționat aceast nume.