Некоторые из наиболее известных действующих сегодня бот-сетей, распространяющих вредоносное ПО, в том числе Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC и Trickbot, были уничтожены в результате скоординированных действий правоохранительных органов, организованных агентством Европейского Союза (ЕС) Европол.
Операция «Финал», которая заручилась поддержкой как Национального агентства по борьбе с преступностью Великобритании (NCA), так и ФБР США, а также агентств из Армении, Болгарии, Дании, Франции, Германии, Литвы, Нидерландов, Португалии, Румынии, Швейцарии и Украины. разворачивался с 27 по 29 мая 2024 года.
Отраслевая поддержка поступила от ряда специалистов по кибербезопасности, включая Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.
Основное внимание было уделено пресечению операций киберпреступников путем отключения ключевой инфраструктуры, замораживания активов и арестов ценных целей. В ходе операции полиция произвела четыре ареста – один в Армении и три в Украине; найти 16 объектов недвижимости; отключить более 100 серверов; и захватить 2000 доменов.
Расследование также установило, что один из главных подозреваемых заработал не менее 69 миллионов евро в криптовалюте от сдачи в аренду объектов криминальной инфраструктуры бандам, занимающимся программами-вымогателями. За этим человеком ведется наблюдение, и власти имеют законное разрешение конфисковать его активы в ходе будущей операции.
В сообщении, опубликованном на специальном микросайте «Операции «Финал», Европол сказал: «Добро пожаловать в «Финал». Международные правоохранительные органы и партнеры объединили усилия. Мы уже давно занимаемся расследованием Вас и Ваших преступных начинаний и не остановимся на достигнутом.
«Это первый сезон операции «Финал». Следите за обновлениями. Это наверняка будет захватывающе. Хотя, возможно, не для всех. Некоторые результаты можно найти здесь, другие придут к вам разными и неожиданными способами.
«Не стесняйтесь обращаться к нам, мы вам можем понадобиться», — продолжил он. «Конечно, мы оба могли бы выиграть от открытого диалога. Ты не будешь первым и не будешь последним. Подумай о нашем следующем шаге».
Европол заявил, что операция «Финал» является крупнейшей за всю историю операцией против этих ботнетов, которые в основном используются в качестве дропперов для доставки программ-вымогателей и других вредоносных программ.
«Операция «Финал» сегодня не закончится», — заявил Европол. «Новые акции будут анонсироваться на сайте Operation Endgame. Кроме того, подозреваемые, причастные к этим и другим ботнетам, которые еще не арестованы, будут напрямую привлечены к ответственности за свои действия. Подозреваемые и свидетели найдут на этом сайте информацию о том, как связаться с ними».
Как работают капельницы
Дропперы вредоносных программ — это пакеты вредоносного программного обеспечения, которые, как правило, не наносят ущерба целевым компьютерам, а вместо этого предназначены для использования в качестве промежуточного пункта для других вредоносных программ — часто шкафчиков программ-вымогателей. Из-за их полезности для группировок, занимающихся вымогательством, их нападение на них может иметь серьезные последствия.
Они появляются на начальных стадиях кибератак и помогают киберпреступникам обойти защиту, уклоняясь от обнаружения и осуществляя свои атаки.
Те, на кого нацелена операция «Финал», имеют некоторые различия между собой с точки зрения того, как они работают и что конкретно они делают – например, многие из них приходят в виде вложений к вредоносным фишинговым электронным письмам, другие случайно загружаются со взломанных веб-сайтов, и они могут даже быть « в комплекте» с законным программным обеспечением, но все они в конечном итоге служат одной и той же цели.
Мэтт Халл, глобальный руководитель отдела анализа угроз в NCC Group, объяснил, что, поскольку эти ботнеты по сути представляют собой сети подключенных к Интернету устройств, работающих по указанию контролера киберпреступников, довольно легко (в некоторых случаях вполне вероятно) кооптировать устройства в такие схемы без ведома их законных владельцев.
В Великобритании недавний закон в виде Закона о безопасности продуктов и телекоммуникационной инфраструктуры, вступивший в силу в конце апреля 2024 года, добавляет дополнительные ограждения, которые могут предотвратить использование устройств, принадлежащих обычным представителям общественности, в преступных целях. активности, но по-прежнему важно знать об угрозе ботнетов и принимать меры для защиты ваших устройств, чтобы избежать личного риска и влияния на их нормальную работу.
«Также важно подумать, прежде чем нажимать на ссылки или открывать вложения к электронной почте, поскольку вредоносное ПО ботнетов часто распространяется через спам или фишинговые электронные письма. Хорошей практикой является всегда перепроверять, что вы открываете что-то законное».
Что будет дальше?
Сообщество безопасности положительно отреагировало на новости об инциденте, но их поддержка сдерживается осознанием того, что предстоит еще много работы, а успешные операции не всегда дают долгосрочные результаты.
«Власти, возможно, сейчас контролируют инфраструктуру, но бесчисленные устройства, вероятно, остаются зараженными дремлющими вредоносными программами ботнетов», — сказал руководитель анализа угроз Darktrace Тоби Льюис.
«Захват серверов — это только первый шаг: им необходимо действовать быстро, уведомлять жертв и предоставлять четкие инструкции по удалению вредоносного ПО и обеспечению безопасности систем… В худшем случае злоумышленники могут восстановить контроль над захваченным доменом и быстро повторно активировать скомпрометированные устройства, которые лежали в ожидании.
«Правоохранительные органы должны сохранять бдительность, внимательно отслеживая любые признаки попыток преступников создать новые серверы управления и контроля или возобновить активность ботнетов», — сказал он. «Если нападавшие попытаются восстановить свои позиции, власти должны быть готовы быстро предупредить жертв».
Льюис сказал, что теперь потребуются постоянные усилия для очистки и предотвращения повторного заражения, а это требует большей координации между партнерами из государственного и частного секторов, а также прозрачного взаимодействия во всем.
«Хотя эта атака представляет собой значительный прогресс, это всего лишь одна успешная операция в продолжающейся борьбе с киберпреступностью», — сказал он. «Киберпреступники настойчивы и адаптивны. Мы должны оставаться такими же усердными и активными».
Операция США
Помимо операции «Финал», действия, проводимые Министерством юстиции США (DoJ), разрушили еще один крупный ботнет, замешанный в атаках программ-вымогателей, мошенничестве, онлайн-запугивании и преследованиях, нарушениях экспорта, эксплуатации детей и даже угрозах взрыва.
В ходе этой операции был арестован 35-летний гражданин Китая и Сент-Китс и Невис, которого Министерство юстиции назвало ЮнХе Ван, 35 лет, по уголовным обвинениям, связанным с размещением вредоносного ПО и работой резидентной прокси-службы 911 S5.
В обвинительных заключениях, обнародованных в США на прошлой неделе, Вана обвинили в создании и распространении вредоносного ПО для создания сети из миллионов домашних компьютеров Windows, связанных с 19 миллионами уникальных IP-адресов, а также в зарабатывании миллионов долларов на предоставлении киберпреступникам доступа к ним.
Вредоносное ПО предположительно распространялось через две виртуальные частные сети (VPN), MaskVPN и DewVPN, а также сервисы с оплатой за установку, которые связывали вредоносное ПО Вана с другими файлами, обычно пиратскими копиями лицензионного программного обеспечения или материалами, защищенными авторскими правами. Все это управлялось примерно через 150 выделенных серверов, 76 из которых были арендованы у американских поставщиков услуг.
Министерство юстиции заявило, что киберпреступники, использующие 911 S5 в своих цепочках атак, возможно, украли миллиарды долларов, в том числе посредством более 550 000 мошеннических исков по страхованию по безработице против американской программы помощи Covid-19, что привело к потерям американских налогоплательщиков в размере 5,9 миллиардов долларов. Еще миллионы были украдены из финансовых учреждений.
Кроме того, киберпреступники, использующие службу 911 S5, могли покупать товары с помощью украденных кредитных карт или доходов, полученных преступным путем, и экспортировать их за пределы США в нарушение местного экспортного контроля, а преступники, находящиеся в Гане, использовали украденные кредитные карты для размещения мошеннических заказов на Платформа электронной коммерции ShopMyExchange службы обмена армии и ВВС США, которая изначально привлекла внимание властей.
Сам Ван, как утверждается, заработал 99 миллионов долларов на 911 S5, которые он использовал для покупки недвижимости в США, Сент-Китс и Невис, Китае, Сингапуре, Китае и ОАЭ. В обвинительном заключении также указан ряд ценных активов, в том числе Ferrari F8 Spider SA 2022 года выпуска, Rolls-Royce и роскошные наручные часы.
«Предполагаемое здесь поведение выглядит так, как будто оно вырвано из сценария: схема продажи доступа к миллионам зараженных вредоносным ПО компьютеров по всему миру, позволяющая преступникам во всем мире красть миллиарды долларов, передавать угрозы о взрыве и обмениваться материалами об эксплуатации детей – а затем использовать Схема получила почти 100 миллионов долларов прибыли на покупку роскошных автомобилей, часов и недвижимости», — сказал Мэтью Аксельрод, помощник министра по экспортному контролю в Бюро промышленности и безопасности Министерства торговли США.
