Velika međunarodna akcija Europola usmjerena na kibernetičku infrastrukturu koja se koristila za širenje zlonamjernog softvera, rezultirala je s četiri uhićene osobe i razmontiravanjem više od 100 internetskih poslužitelja. Europol je ujedno preuzeo kontrolu nad više od 2000 domena.
Kako su priopćili iz Europola, ova bi se akcija mogla okarakterizirati kao "najveća operacija ikad provedena protiv bot mreža koje su odgovorne za širenje ransomwarea".
Među botnetovima koji su se našli na udaru Europola i partnerskih organizacija su i dobro poznati Pikabot, Bumblebee, Smokeloader, IceID i drugi.
U Europolu su izuzetno zadovoljni provedenom akcijom za koju kažu da je "zadala značajan udarac kriminalnoj sceni".
Naime, kako su pojasnili, jedan od glavnih osumnjičenih do sad je zaradio najmanje 69 milijuna eura u različitim kriptovalutama iznajmljujući mjesta (tzv. malware dropper) na kibernetičkoj kriminalnoj infrastrukturi na kojima su "korisnici" mogli postaviti ransomware.
Inače, malware dropperi vrsta su zlonamjernog softvera dizajniranog za instaliranje drugog zlonamjernog softvera na ciljni sustav. Koriste se tijekom prve faze napada zlonamjernog softvera, tijekom kojeg kriminalcima omogućuju zaobilaženje sigurnosnih mjera i postavljanje dodatnih štetnih programa, poput virusa, ransomwarea ili spywarea. Sami dropperi obično ne uzrokuju izravnu štetu, ali su ključni za pristup i implementaciju štetnog softvera na pogođenim sustavima.
SystemBC je omogućio anonimnu komunikaciju između zaraženog sustava i servera za naredbu i kontrolu. Bumblebee, koji se uglavnom distribuira putem phishing kampanja ili kompromitiranih web stranica, osmišljen je kako bi omogućio isporuku i izvođenje daljnjih korisnih opterećenja na kompromitiranim sustavima. SmokeLoader se prvenstveno koristio kao downloader za instaliranje dodatnog zlonamjernog softvera na sustave koje inficira. IcedID (također poznat kao BokBot), u početku kategoriziran kao bankarski trojanac, dalje je razvijen kako bi služio i drugim kibernetičkim zločinima uz krađu financijskih podataka. Pikabot je trojanac koji se koristi za početni pristup zaraženim računalima koji omogućuje implementaciju ransomwarea, daljinsko preuzimanje računala i krađu podataka. Svi se oni koriste za postavljanje ransomwarea i smatraju se glavnom prijetnjom u cijelom lancu.
Iz Europola naglašavaju kako dropperi mogu ući u sustave kroz različite kanale, kao što su privici e-pošte, kompromitirana web-mjesta, a također mogu biti u paketu s legitimnim softverom. Nakon ulaska, dropper instalira dodatni malware na žrtvino računalo bez njegovog znanja ili pristanka. Dropperi su dizajnirani da izbjegnu sigurnosni softver i otkrivanje. Oni mogu koristiti metode kao što su maskiranje svog koda, pokretanje u memoriji bez spremanja na disk ili oponašanje legitimnih softverskih procesa. Nakon postavljanja dodatnog zlonamjernog softvera, dropper može ostati neaktivan ili se ukloniti kako bi izbjegao otkrivanje, ostavljajući ostale zlonamjerne programe da izvrši planirane zlonamjerne aktivnosti.
Iz Europola ističu kako ovo nije kraj misije, već će se dodatne aktivnost nastaviti i dalje.
