Agências policiais da Europa e da América do Norte desativaram nesta semana a infraestrutura usada por operadores de ransomware, como parte da Operação Endgame. Segundo a Europol, a ação resultou na remoção de 300 servidores e 650 domínios ao redor do mundo, além da apreensão de cerca de US$ 3,5 milhões. Mandados de prisão foram emitidos contra quase 20 suspeitos ligados à atividade criminosa.
Leia também
Hackers chineses invadem rede de empresa de backup
Espionagem estaria vasculhando empresas de logística
Nos Estados Unidos, promotores acusaram 16 pessoas envolvidas no desenvolvimento e operação do malware DanaBot, utilizado para comprometer mais de 300 mil computadores e viabilizar fraudes e ataques de ransomware que somam pelo menos US$ 50 milhões em prejuízos. Entre os acusados estão Aleksandr Stepanov e Artem Kalinkin, residentes na Rússia, que podem pegar até 5 e 72 anos de prisão, respectivamente.
A operação teve o apoio de empresas como CrowdStrike, Amazon, Google, PayPal, ESET e outras. A Europol informou que esta fase da Operação Endgame teve como alvo malwares usados para obter acesso inicial em redes corporativas, incluindo variantes como Bumblebee, Lactrodectus, Qakbot, Hijackloader, Trickbot e Warmcookie, que são amplamente utilizados como serviço por outros cibercriminosos.
O DanaBot, detectado pela Proofpoint em 2018, era distribuído via phishing e permitia o controle remoto de dispositivos comprometidos. Seus operadores alugavam o acesso à botnet para outros criminosos por uma taxa mensal, permitindo roubo de dados, controle de sessões bancárias, registro de teclas e coleta de credenciais. Segundo as autoridades, parte da operação visava alvos militares, diplomáticos e governamentais da América do Norte e Europa.
Servidores de comando e controle do DanaBot foram removidos, inclusive alguns nos EUA. O governo americano está trabalhando com a Shadowserver Foundation para notificar as vítimas do malware.
