Numa contundente demonstração de força contra o cibercrime global, a mais recente fase da "Operation Endgame" resultou na apreensão de centenas de servidores e domínios utilizados em ataques de ransomware. A operação internacional, que decorreu entre 19 e 22 de maio, envolveu autoridades de sete países e representa um abalo significativo nas infraestruturas dos cibercriminosos.
Duro golpe na infraestrutura do cibercrime
Segundo informações divulgadas no âmbito da ação conjunta, as autoridades lograram desmantelar cerca de 300 servidores em todo o mundo e neutralizar 650 domínios. Adicionalmente, foram emitidos 20 mandados de captura internacionais, visando diretamente os responsáveis pela cadeia de infeção e ataque de ransomware.
Durante a semana da operação, foram também apreendidos 3,5 milhões de euros em criptomoedas, elevando o montante total confiscado no âmbito da "Operation Endgame" para uns impressionantes 21,2 milhões de euros. Esta ação coordenada pela Europol e Eurojust, em colaboração com parceiros do setor privado, teve como alvos diversas operações de cibercrime, incluindo os notórios malwares Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot e Warmcookie.
Malware "a pedido" na mira das autoridades
Muitas destas ameaças digitais operam num modelo de "Malware-as-a-Service" (MaaS), onde os criadores do software malicioso o disponibilizam a outros cibercriminosos para lançar ataques. Estes malwares são frequentemente a porta de entrada para as redes das vítimas, abrindo caminho para posteriores ataques de ransomware.
Europol sublinha resiliência das autoridades
Catherine De Bolle, Diretora Executiva da Europol, comentou o sucesso da operação: "Esta nova fase demonstra a capacidade das forças de segurança para se adaptarem e atacarem novamente, mesmo quando os cibercriminosos se reorganizam e modernizam as suas ferramentas." Acrescentou ainda que, "ao desorganizar os serviços nos quais os criminosos confiam para implementar ransomware, estamos a quebrar a cadeia de ataque na sua origem."
Caso DanaBot: acusações nos EUA e espionagem
Paralelamente, na passada quinta-feira, o Departamento de Justiça dos EUA (U.S. Department of Justice) revelou acusações contra 16 indivíduos alegadamente ligados a um grupo de cibercrime russo que controlava a operação do malware DanaBot. Deste grupo, foram identificados oito cidadãos russos: Aleksandr Stepanov, Artem Aleksandrovich Kalinkin, Danil Khalitov, Aleksey Efremov, Kamil Sztugulewski, Ibrahim Idowu, Artem Shubin e Aleksey Khudiakov, enquanto os restantes oito foram mencionados pelos seus pseudónimos.
De acordo com a queixa apresentada, consultável no site do Departamento de Justiça dos EUA, o grupo utilizava esta botnet (rede de computadores infetados) para distribuir outros tipos de malware, incluindo ransomware. Estima-se que tenham infetado mais de 300.000 computadores a nível global, causando prejuízos que ultrapassam os 50 milhões de dólares (cerca de 46 milhões de euros).
O malware DanaBot, ativo desde 2018, funciona também como um "Malware-as-a-Service", permitindo aos seus administradores alugar o acesso à botnet e ferramentas de suporte por milhares de dólares mensais. Este software malicioso é capaz de intercetar sessões bancárias, roubar dados e históricos de navegação, e fornecer acesso remoto completo aos sistemas comprometidos, possibilitando o registo de teclas premidas (keystroke logging) e a gravação de vídeo da atividade dos utilizadores.
Foi ainda revelado que os administradores do DanaBot utilizavam uma segunda versão desta botnet para fins de ciberespionagem, visando organizações militares, diplomáticas e governamentais. "Esta versão da botnet registava todas as interações com o computador e enviava os dados roubados para um servidor diferente daquele usado na versão orientada a fraudes," afirmou o Departamento de Justiça. "Esta variante foi alegadamente usada contra diplomatas, elementos das forças de segurança e militares na América do Norte e Europa."
Operation Endgame: um historial de sucesso contra o malware
A ação desta semana é mais um capítulo numa série de intervenções da "Operation Endgame". Entre as fases anteriores, destaca-se a apreensão de mais de 100 servidores que alojavam mais de 2.000 domínios usados por diversas operações de malware "loader" (software que instala outro malware), como IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC.
Posteriormente, em junho de 2024, as autoridades prenderam um especialista em "crypters" (software que oculta malware de antivírus) associado aos grupos de ransomware Conti e LockBit. Em abril do mesmo ano, a polícia conseguiu rastrear clientes da botnet Smokeloader, detendo pelo menos cinco indivíduos, graças a informações obtidas após a apreensão de uma base de dados com informações sobre os subscritores do Smokeloader.
Ainda esta semana, Rustam Rafailevich Gallyamov, um cidadão russo identificado como líder da operação do malware Qakbot – que comprometeu mais de 700.000 computadores e facilitou inúmeros ataques de ransomware – foi também indiciado nos Estados Unidos.
Adicionalmente, no início deste mês, cerca de 2.300 domínios foram apreendidos numa ação de desmantelamento liderada pela Microsoft, visando a operação de roubo de informação Lumma, que funcionava também no modelo de "Malware-as-a-Service". Pode encontrar mais detalhes sobre esta ação no blog oficial da Microsoft.
Nenhum comentário
Seja o primeiro!