Международная операция остановила дропы, включая IcedID, SystemBC, Pikabot, Smokeloader и Bumblebee, что привело к четырем арестам и отключению более 100 серверов по всему миру.
В период с 27 по 29 мая 2024 года операция «Финал», координируемая из штаб-квартиры Европола, была нацелена на такие системы, как IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot. Действия были направлены на подрыв криминальной деятельности путем ареста особо важных объектов, уничтожения криминальной инфраструктуры и замораживания незаконных доходов. Этот подход оказал глобальное влияние на экосистему капельницы. Вредоносное ПО, инфраструктура которого была разрушена в дни акции, способствовало атакам с использованием программ-вымогателей и другого вредоносного программного обеспечения. По итогам дней действий восемь беглецов, причастных к этой преступной деятельности и разыскиваемых Германией, 30 мая 2024 года будут добавлены в Европейский список самых разыскиваемых лиц. Эти лица разыскиваются за причастность к серьезной киберпреступной деятельности.
Это крупнейшая за всю историю операция против ботнетов, которые играют важную роль в распространении программ-вымогателей. Операция, инициированная и возглавленная Францией, Германией и Нидерландами, также была поддержана Евроюстом и в ней участвовали Дания, Великобритания и США. Кроме того, Армения, Болгария, Литва, Португалия, Румыния, Швейцария и Украина также поддержали операцию различными действиями, такими как аресты, допросы подозреваемых, обыски, а также изъятие или удаление серверов и доменов. Операцию также поддержали ряд частных партнеров на национальном и международном уровне, включая Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.
Скоординированные действия привели к:
SystemBC обеспечивал анонимную связь между зараженной системой и серверами управления. Bumblebee, распространяемый в основном посредством фишинговых кампаний или взломанных веб-сайтов, был разработан для обеспечения доставки и выполнения дополнительных полезных данных на взломанных системах. SmokeLoader в основном использовался в качестве загрузчика для установки дополнительных вредоносных программ в заражаемые им системы. IcedID (также известный как BokBot), первоначально классифицировавшийся как банковский троян, в дальнейшем был разработан для борьбы с другими киберпреступлениями, помимо кражи финансовых данных. Pikabot — это троян, используемый для получения первоначального доступа к зараженным компьютерам, который позволяет устанавливать программы-вымогатели, удаленно захватывать компьютер и красть данные. Все они сейчас используются для развертывания программ-вымогателей и рассматриваются как основная угроза в цепочке заражения.
Выполнение: после выполнения дроппер устанавливает дополнительное вредоносное ПО на компьютер жертвы. Эта установка часто происходит без ведома или согласия пользователя.
Уклонение: Дропперы разработаны таким образом, чтобы избежать обнаружения программным обеспечением безопасности. Они могут использовать такие методы, как запутывание своего кода, запуск в памяти без сохранения на диск или имитация законных программных процессов.
Доставка полезной нагрузки. После развертывания дополнительного вредоносного ПО программа-дроппер может либо остаться неактивной, либо удалиться, чтобы избежать обнаружения, оставив полезную нагрузку для выполнения намеченных вредоносных действий.
Координацию оперативных действий с командного пункта Европола обеспечивали более 20 сотрудников правоохранительных органов из Дании, Франции, Германии и США, а также сотни других офицеров из разных стран, участвовавших в действиях. Кроме того, виртуальный командный пункт позволил в режиме реального времени координировать действия между армянскими, французскими, португальскими и украинскими офицерами, дислоцированными на месте во время полевых действий.
Командный пункт Европола способствовал обмену разведданными о захваченных серверах, подозреваемых и передаче захваченных данных. Местные командные пункты были также созданы в Германии, Нидерландах, Португалии, США и Украине. Евроюст поддержал эту акцию, создав в своей штаб-квартире координационный центр для облегчения судебного сотрудничества между всеми участвующими органами. Евроюст также оказывал помощь в исполнении европейских ордеров на арест и европейских распоряжений о расследованиях.
Список участвующих органов власти был обновлен 30 мая 2024 года в 12:10 по центральноевропейскому времени.
В период с 27 по 29 мая 2024 года операция «Финал», координируемая из штаб-квартиры Европола, была нацелена на такие системы, как IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot. Действия были направлены на подрыв криминальной деятельности путем ареста особо важных объектов, уничтожения криминальной инфраструктуры и замораживания незаконных доходов. Этот подход оказал глобальное влияние на экосистему капельницы. Вредоносное ПО, инфраструктура которого была разрушена в дни акции, способствовало атакам с использованием программ-вымогателей и другого вредоносного программного обеспечения. По итогам дней действий восемь беглецов, причастных к этой преступной деятельности и разыскиваемых Германией, 30 мая 2024 года будут добавлены в Европейский список самых разыскиваемых лиц. Эти лица разыскиваются за причастность к серьезной киберпреступной деятельности.
Это крупнейшая за всю историю операция против ботнетов, которые играют важную роль в распространении программ-вымогателей. Операция, инициированная и возглавленная Францией, Германией и Нидерландами, также была поддержана Евроюстом и в ней участвовали Дания, Великобритания и США. Кроме того, Армения, Болгария, Литва, Португалия, Румыния, Швейцария и Украина также поддержали операцию различными действиями, такими как аресты, допросы подозреваемых, обыски, а также изъятие или удаление серверов и доменов. Операцию также поддержали ряд частных партнеров на национальном и международном уровне, включая Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.
Скоординированные действия привели к:
- 4 ареста (1 в Армении и 3 на Украине)
- 16 поисков местоположений (1 в Армении, 1 в Нидерландах, 3 в Португалии и 11 в Украине)
- Более 100 серверов отключены или выведены из строя в Болгарии, Канаде, Германии, Литве, Нидерландах, Румынии, Швейцарии, Великобритании, США и Украине.
- Более 2 000 доменов под контролем правоохранительных органов
Что такое капельница и как она работает?
Дропперы вредоносных программ — это тип вредоносного программного обеспечения, предназначенный для установки других вредоносных программ в целевую систему. Они используются на первом этапе атаки вредоносного ПО, во время которого позволяют преступникам обойти меры безопасности и развернуть дополнительные вредоносные программы, такие как вирусы, программы-вымогатели или шпионские программы. Сами по себе дропперы обычно не наносят прямого ущерба, но имеют решающее значение для доступа и внедрения вредоносного программного обеспечения в пострадавшие системы.SystemBC обеспечивал анонимную связь между зараженной системой и серверами управления. Bumblebee, распространяемый в основном посредством фишинговых кампаний или взломанных веб-сайтов, был разработан для обеспечения доставки и выполнения дополнительных полезных данных на взломанных системах. SmokeLoader в основном использовался в качестве загрузчика для установки дополнительных вредоносных программ в заражаемые им системы. IcedID (также известный как BokBot), первоначально классифицировавшийся как банковский троян, в дальнейшем был разработан для борьбы с другими киберпреступлениями, помимо кражи финансовых данных. Pikabot — это троян, используемый для получения первоначального доступа к зараженным компьютерам, который позволяет устанавливать программы-вымогатели, удаленно захватывать компьютер и красть данные. Все они сейчас используются для развертывания программ-вымогателей и рассматриваются как основная угроза в цепочке заражения.
Этапы работы капельниц
Проникновение. Дропперы могут проникать в системы через различные каналы, такие как вложения электронной почты, взломанные веб-сайты, а также могут быть связаны с легальным программным обеспечением.Выполнение: после выполнения дроппер устанавливает дополнительное вредоносное ПО на компьютер жертвы. Эта установка часто происходит без ведома или согласия пользователя.
Уклонение: Дропперы разработаны таким образом, чтобы избежать обнаружения программным обеспечением безопасности. Они могут использовать такие методы, как запутывание своего кода, запуск в памяти без сохранения на диск или имитация законных программных процессов.
Доставка полезной нагрузки. После развертывания дополнительного вредоносного ПО программа-дроппер может либо остаться неактивной, либо удалиться, чтобы избежать обнаружения, оставив полезную нагрузку для выполнения намеченных вредоносных действий.
Финал на этом не заканчивается
Операция «Финал» не заканчивается сегодня. О новых акциях будет объявлено на сайте Operation Endgame. Кроме того, подозреваемые, причастные к этим и другим ботнетам, которые еще не арестованы, будут напрямую привлечены к ответственности за свои действия. Подозреваемые и свидетели найдут на этом сайте информацию о том, как связаться с ними.Командный пункт Европола для координации оперативных действий
Европол содействовал обмену информацией и оказал расследованию аналитическую, крипто-отслеживающую и судебно-медицинскую поддержку. Для поддержки координации операции Европол организовал более 50 координационных звонков со всеми странами, а также оперативный спринт в своей штаб-квартире.Координацию оперативных действий с командного пункта Европола обеспечивали более 20 сотрудников правоохранительных органов из Дании, Франции, Германии и США, а также сотни других офицеров из разных стран, участвовавших в действиях. Кроме того, виртуальный командный пункт позволил в режиме реального времени координировать действия между армянскими, французскими, португальскими и украинскими офицерами, дислоцированными на месте во время полевых действий.
Командный пункт Европола способствовал обмену разведданными о захваченных серверах, подозреваемых и передаче захваченных данных. Местные командные пункты были также созданы в Германии, Нидерландах, Португалии, США и Украине. Евроюст поддержал эту акцию, создав в своей штаб-квартире координационный центр для облегчения судебного сотрудничества между всеми участвующими органами. Евроюст также оказывал помощь в исполнении европейских ордеров на арест и европейских распоряжений о расследованиях.
Национальные власти в центре операции «Финал»
Государства-члены ЕС:
- Дания: Датская полиция (Politi)
- Франция: Национальная жандармерия (Gendarmerie Nationale) и Национальная полиция (Police Nationale); Отдел по борьбе с киберпреступностью прокуратуры JUNALCO (Национальная юрисдикция по борьбе с организованной преступностью); Судебная полиция Парижа (префектура полиции Парижа)
- Германия: Федеральное управление уголовной полиции (Bundeskriminalamt), Генеральная прокуратура Франкфурта-на-Майне – Центр киберпреступности
- Нидерланды: Национальная полиция (Полиция), Государственная прокуратура (Государственная прокуратура)
Государства, не входящие в ЕС:
- Соединенное Королевство: Национальное агентство по борьбе с преступностью
- Соединенные Штаты: Федеральное бюро расследований, Секретная служба США, Служба уголовных расследований Министерства обороны США, Министерство юстиции США.
Органы власти, участвующие в местных координационных центрах операции «Финал»:
- Португалия: судебная полиция
- Ukraine: Prosecutor General's Office (Офис Генерального прокурора); National Police (Национальная полиция Украины); Security Service (Служба безопасности Украины)
Список участвующих органов власти был обновлен 30 мая 2024 года в 12:10 по центральноевропейскому времени.
