HAGA, Holandia – Policja, we współpracy z organami wymiaru sprawiedliwości i policją Unii Europejskiej, zlikwidowała sieci komputerowe odpowiedzialne za rozprzestrzenianie oprogramowania ransomware za pośrednictwem zainfekowanych wiadomości e-mail, co nazwano największą w historii międzynarodową operacją skierowaną przeciwko tej lukratywnej formie cyberprzestępczości.
Policja aresztowała czterech ważnych podejrzanych, zniszczyła ponad 100 serwerów i przejęła kontrolę nad ponad 2000 domen internetowych – poinformowała w czwartek unijna agencja współpracy sądowej Eurojust.
Jak podał Eurojust, masowa akcja, która miała miejsce w tym tygodniu, o kryptonimie Endgame, obejmowała skoordynowane działania w Niemczech, Holandii, Francji, Danii, Ukrainie, Stanach Zjednoczonych i Wielkiej Brytanii. Trzech podejrzanych aresztowano także na Ukrainie i jednego w Armenii. Europol dodał, że przeszukania przeprowadzono na Ukrainie, w Portugalii, Holandii i Armenii.
Jest to najnowsza międzynarodowa operacja mająca na celu zakłócenie działania złośliwego oprogramowania i oprogramowania ransomware. Eurojust podał, że nastąpiło to po usunięciu na dużą skalę w 2021 r. botnetu o nazwie Emotet. Botnet to sieć porwanych komputerów, która jest zwykle wykorzystywana do przeprowadzania szkodliwych działań.
Europol obiecał, że nie będzie to ostatnie obalenie.
„Operacja Endgame nie kończy się dzisiaj. Nowe środki zostaną ogłoszone na stronie internetowej Operacji Endgame” – oznajmił Europol w oświadczeniu.
Holenderska policja podała, że szkody finansowe wyrządzone przez sieć rządom, firmom i użytkownikom indywidualnym szacuje się na setki milionów euro (dolarów).
„Miliony ludzi są ofiarami również dlatego, że ich systemy zostały zainfekowane, co uczyniło ich częścią botnetów” – stwierdzono w holenderskim oświadczeniu.
Eurojust powiedział, że jeden z głównych podejrzanych uzyskał kryptowalutę o wartości co najmniej 69 milionów euro (74 miliony dolarów), dzierżawiąc infrastrukturę przestępczą w celu rozprzestrzeniania oprogramowania ransomware.
Europol dodał: „Transakcje podejrzanego są stale monitorowane i uzyskano już prawne pozwolenie na przejęcie tych aktywów na potrzeby przyszłych działań”.
Celem operacji było złośliwe oprogramowanie o nazwach IcedID, Pikabot, Smokeloader, Bumblebee i Trickbot. Dropper to złośliwe oprogramowanie, które zazwyczaj rozprzestrzenia się w wiadomościach e-mail zawierających zainfekowane łącza lub załączniki, takie jak faktury wysyłkowe lub formularze zamówień.
„To podejście miało globalny wpływ na ekosystem droppera. Szkodliwe oprogramowanie, którego infrastruktura została usunięta w dniu zdarzenia, ułatwiło ataki z wykorzystaniem oprogramowania ransomware i innego złośliwego oprogramowania” – stwierdził Europol.
Ben Jones, dyrektor generalny Searchlight Cyber, firmy dostarczającej informacje wywiadowcze w ciemnej sieci, pochwalił tę operację jako przykład tego, jak współpraca międzynarodowa może rozprawić się z cyberprzestępczością.
„Chociaż cyberprzestępcy wcześniej wykorzystywali swoją zdolność do działania ponad granicami, aby uniknąć ramienia wymiaru sprawiedliwości, operacje takie jak Endgame – koordynowane w wielu jurysdykcjach – dowodzą, że taka taktyka unikania jest nie do utrzymania” – stwierdził Jones w komentarzach przesłanych pocztą elektroniczną do The Associated Press „Coraz częściej”. „Internet się rozwija, a dostęp do „bezpiecznych stref” dla działalności cyberprzestępczej staje się coraz trudniejszy”.
Holenderska policja stwierdziła, że te środki powinny ostrzec cyberprzestępców o możliwości aresztowania.
„Ta operacja pokazuje, że zawsze pozostawia się ślady i nikogo nie można znaleźć, nawet w Internecie” – powiedział w oświadczeniu wideo Stan Doive z holenderskiej policji.
Zastępca szefa niemieckiego Federalnego Urzędu Kryminalnego Martina Lenk określiła tę operację jako „największą jak dotąd międzynarodową operację cyberpolicji”.
„Dzięki szeroko zakrojonej współpracy międzynarodowej udało się unieszkodliwić sześć największych rodzin szkodliwego oprogramowania” – stwierdzono w oświadczeniu.
Władze niemieckie dążą do aresztowania siedmiu osób podejrzanych o przynależność do organizacji przestępczej mającej na celu rozprzestrzenianie szkodliwego oprogramowania Trickbot. Podejrzewa się, że ósma osoba jest jednym z przywódców grupy stojącej za Smokeloaderem.
Europol oświadczył, że doda ośmiu podejrzanych poszukiwanych przez Niemcy do swojej listy najbardziej poszukiwanych osób.
___
Powiązany pisarz prasowy Geir Molson w Berlinie przyczynił się do powstania tego raportu.
„Zagorzały badacz zombie. Organizator.