Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Operazione Endgame: Europol Demolisce Le Reti Botnet e Dropper e Arresta i Cybercriminali

Redazione RHC : 30 Maggio 2024 12:26

Tra il 27 e il 29 maggio 2024 l’operazione Endgame, coordinata dal quartier generale di Europol, ha preso di mira i dropper tra cui IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le azioni si sono concentrate sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali.

Questo approccio ha avuto un impatto globale sull’ecosistema dei dropper. Il malware, la cui infrastruttura è stata abbattuta durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Dopo le giornate di azione, il 30 maggio 2024 otto fuggitivi ricercati dalla Germania, collegati a queste attività criminali, verranno aggiunti all’elenco dei più ricercati Criminali informatici d’Europa.

Si tratta della più grande operazione mai realizzata contro le botnet, che svolgono un ruolo importante nella diffusione del ransomware. L’operazione, avviata e guidata da Francia, Germania e Paesi Bassi, è stata sostenuta anche da Eurojust e ha coinvolto Danimarca, Regno Unito e Stati Uniti. Inoltre, anche Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina hanno sostenuto l’operazione con diverse azioni, come arresti, interrogatori di sospetti, perquisizioni e sequestri o rimozione di server e domini.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    L’operazione è stata supportata anche da una serie di partner privati ​​a livello nazionale e internazionale tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD.

    Le azioni coordinate hanno portato a:

    • 4 arresti (1 in Armenia e 3 in Ucraina)
    • 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina)
    • Oltre 100 server rimossi o interrotti in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina 
    • Oltre 2 000 domini sotto il controllo delle forze dell’ordine

    Inoltre, dalle indagini finora è emerso che uno dei principali sospettati ha guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware. Le transazioni del sospettato vengono costantemente monitorate ed è già stata ottenuta l’autorizzazione legale a sequestrare questi beni per azioni future.

    Cos’è un dropper e come funziona?

    I dropper di malware sono un tipo di software dannoso progettato per installare altro malware su un sistema di destinazione. Vengono utilizzati durante la prima fase di un attacco malware, durante la quale consentono ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi, come virus, ransomware o spyware. I dropper stessi di solito non causano danni diretti ma sono cruciali per l’accesso e l’implementazione di software dannosi sui sistemi interessati.

    SystemBC ha facilitato la comunicazione anonima tra un sistema infetto e un server di comando e controllo. Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, è stato progettato per consentire la consegna e l’esecuzione di ulteriori payload su sistemi compromessi. SmokeLoader veniva utilizzato principalmente come downloader per installare ulteriori software dannosi sui sistemi che infetta. IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario, è stato ulteriormente sviluppato per servire altri crimini informatici oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti che consente la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati. Tutti vengono ora utilizzati per distribuire ransomware e sono visti come la principale minaccia nella catena di infezione.

    Fasi di funzionamento dei dropper

    • Infiltrazione: i dropper possono entrare nei sistemi attraverso vari canali, come allegati e-mail, siti Web compromessi, possono anche essere associati a software legittimo.
    • Esecuzione: una volta eseguito, il dropper installa il malware aggiuntivo sul computer della vittima. Questa installazione avviene spesso all’insaputa o senza il consenso dell’utente.
    • Evasione: i dropper sono progettati per evitare il rilevamento da parte dei software di sicurezza. Possono utilizzare metodi come offuscare il codice, eseguirlo in memoria senza salvarlo su disco o impersonare processi software legittimi.
    • Consegna del payload: dopo aver distribuito il malware aggiuntivo, il dropper può rimanere inattivo o rimuoversi per eludere il rilevamento, lasciando che sia il payload a svolgere le attività dannose previste.

    Endgame non finisce qui

    L’operazione Endgame non termina oggi. Le nuove azioni saranno annunciate sul sito web Operation Endgame . Inoltre, i sospetti coinvolti in queste e altre reti Bot, che non sono ancora stati arrestati, saranno chiamati direttamente a rispondere delle loro azioni. Sospettati e testimoni troveranno informazioni su come contattarli tramite questo sito web.

    Europol per coordinare le azioni operative

    Europol ha facilitato lo scambio di informazioni e ha fornito supporto analitico, di criptotracciamento e forense alle indagini. Per supportare il coordinamento dell’operazione, Europol ha organizzato più di 50 chiamate di coordinamento con tutti i paesi, nonché uno sprint operativo presso la sua sede.

    Oltre 20 agenti delle forze dell’ordine provenienti da Danimarca, Francia, Germania e Stati Uniti hanno supportato il coordinamento delle azioni operative dal posto di comando dell’Europol e centinaia di altri ufficiali dei diversi paesi coinvolti nelle azioni. Inoltre, un posto di comando virtuale ha consentito il coordinamento in tempo reale tra gli ufficiali armeni, francesi, portoghesi e ucraini schierati sul posto durante le attività sul campo.

    Il posto di comando dell’Europol ha facilitato lo scambio di informazioni sui server sequestrati, sui sospettati e sul trasferimento dei dati sequestrati. Posti di comando locali sono stati istituiti anche in Germania, Paesi Bassi, Portogallo, Stati Uniti e Ucraina. Eurojust ha sostenuto l’azione istituendo un centro di coordinamento presso la propria sede per facilitare la cooperazione giudiziaria tra tutte le autorità coinvolte. Eurojust ha inoltre prestato assistenza nell’esecuzione di mandati di arresto europei e ordini di indagine europei.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Dentro le Reti Wireless IEEE 802.11: Architettura e Segnale Wi-Fi

    Le reti wireless IEEE 802.11, meglio note come Wi-Fi, sono il cuore pulsante della connettività moderna. Da soluzione di nicchia per uso domestico a pilastro tecnologico per l’Internet del...

    X va Offline per un Attacco DDoS di Dark Storm. Elon Musk: “Gruppo Numeroso e Coordinato”

    X, la piattaforma di social media precedentemente nota come Twitter, nella giornata di oggi è rimasta offline per diverso tempo. Secondo Downdetector.com, X ha riscontrato per la prima volta...

    Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!

    Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come ...

    Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo

    Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del propriet...