Europol ogłosił sukces największej w historii międzynarodowej operacji antycyberprzestępczej pod kryptonimem „Endgame”, wymierzonej w infrastrukturę wspierającą ataki ransomware. W tej skoordynowanej akcji brało udział wiele międzynarodowych organów ścigania oraz partnerzy prywatni, w tym gigant technologiczny Microsoft. Operacja skupiła się na przełamywaniu schematów działalności złośliwego oprogramowania: SocGholish, Amadey i StealC, co zaowocowało neutralizacją setek serwerów i domen oraz odzyskaniem milionów skradzionych danych logowania.
Celem Europolu wraz z Eurojustem było przede wszystkim unieszkodliwienie infrastruktury wykorzystywanej przez cyberprzestępców do globalnych kampanii ransomware. Dzięki współpracy z Kanadą, Danią, Niemcami, Holandią, Wielką Brytanią, USA oraz 10 firmami prywatnymi, w tym Orange Cyberdefense, udało się zidentyfikować 326 serwerów oraz 142 domeny powiązane z nielegalną działalnością. Operacja pozwoliła odzyskać i zabezpieczyć kryptowaluty pochodzące z przestępstw o wartości przekraczającej 41 milionów euro.
Jednym z kluczowych celów operacji był SocGholish, znany również jako „FakeUpdates”. To oprogramowanie typu dropper/loader, które pozwala atakującym na instalację malware na komputerach ofiar. SocGholish wykorzystywało fałszywe komunikaty o aktualizacjach przeglądarki, wyświetlane na przejętych stronach internetowych, co skłaniało użytkowników do pobierania szkodliwego oprogramowania. Europol usunął prawie 15 tysięcy zainfekowanych witryn.
W operacji uwzględniono także Amadey i StealC. Amadey działał jako dropper, zapewniając cyberprzestępcom początkowy dostęp do systemów, podczas gdy StealC służył do wykradania poufnych danych, takich jak hasła. Połączone, stanowiły element krytycznego łańcucha dostaw w działalności przestępczej, przyczyniając się do infekcji ponad 140 tysięcy komputerów na całym świecie tylko w pierwszej połowie maja.
Holenderska policja podjęła działania zabezpieczające przejęte strony, informując właścicieli o potrzebie wzmocnienia ochrony, w tym poprzez zmianę danych logowania i aktywację uwierzytelniania wieloskładnikowego. Europol zaapelował do użytkowników o nieufność wobec wyskakujących okienek oraz pobieranie aktualizacji tylko z zaufanych źródeł.
Ta skoordynowana akcja Europolu pokazuje nową strategię organizacji, która zamiast zwalczać poszczególne zagrożenia, celuje w eliminację całych mechanizmów wykorzystywanych do masowej skali cyberataków, co stanowi istotny krok naprzód w walce z globalną cyberprzestępczością.
Dodaj komentarz