ABD, Kanada ve AB’den kolluk kuvvetleri ve yargı yetkilileri tarafından monte edilen Operasyon Endgame, Danabot Botnet’i bozarak ve hem Danabot hem de Hizmet Olarak Kötü Yazılımlar Operasyonlarının liderlerini göstererek olumlu sonuçlar vermeye devam ediyor.
Operasyon Endgame 2.0
Europol ve Eurojust tarafından koordine edilen operasyon, ilk olarak bir yıl önce, kötü amaçlı yazılım damlaları ve truva atları – SystemBC, Bumblebee, Summeloader, buzik ve Pikabot’u teslim etmek için kullanılan küresel altyapıyı kesintiye uğrattığında halka açık hale getirildi ve dağıtım işlemlerinde yer alan bir dizi şüphelinin durmasına yol açtı.
Shadowserver Vakfı’nın CEO’su Piotr Kijewski’nin son zamanlarda belirttiği gibi, bazı yükleyiciler “geri döndü” olsa da, eylem bir çentik yaptı.
Operasyonun yeni bir aşamasının sonuçları bu hafta paylaşıldı.
Europol Cuma günü yaptığı açıklamada, “19-22 Mayıs tarihleri arasında yetkililer dünya çapında yaklaşık 300 sunucuyu düşürdü, 650 alanı nötralize etti ve 20 hedefe karşı uluslararası tutuklama emri çıkardı ve fidye yazılımı öldürme zincirine doğrudan bir darbe aldı.”
“Bu son aşama (…) geçen yılın yayından kaldırılmasından sonra yeniden ortaya çıkan yeni kötü amaçlı yazılım varyantlarını ve halef gruplarını hedefledi, kolluk kuvvetlerinin siber suçlular yeniden toplandığında ve yeniden düzenlese bile uyarlama ve geri dönme kapasitesini güçlendirdi.”
Bu sefer, operasyon, büyük ölçekli fidye yazılımı saldırılarının yolunu açmak için kullanılan çeşitli kötü amaçlı yazılım yükleyicilerinin dağılımını nötralize etmek için harekete geçti: Bumblee, Hanjackloader, Lactrodectus, Qakbot, Danabot, Trickbot ve Warmcookie Backoor.
Perşembe günü, ABD Adalet Bakanlığı (ABD DOJ), Danabot kötü amaçlı yazılımları dünya çapında 300.000’den fazla kurban bilgisayarı üzerinde geliştirdiği ve konuşlandırdığı iddia edilen 16 saniye karşı suçlamadı.
Her ikisi de Rusya’da yaşayan Aleksandr Stepanov (“Jimmbee”) ve Artem Aleksandrovich Kalinkin (“Onix”) olarak adlandırıldı.
“Danabot kötü amaçlı yazılımların, hizmet olarak kötü amaçlı bir model üzerinde çalıştığı iddia edilen yöneticiler, ayda birkaç bin dolar olan bir ücret karşılığında botnet’e erişimi kiralayan ve destek araçlarını destekleyicilerle birlikte, çok sayıda bin dolar. Tarihlere, depolanan hesap kimlik bilgilerine ve sanal para birimi cüzdan bilgilerine göz atma ”dedi.
“Danabot yöneticileri, askeri, diplomatik, hükümet ve ilgili varlıklardaki mağdur bilgisayarları hedeflemek için kullanılan BotNet’in ikinci bir versiyonunu işletti. Botnet’in bu versiyonu bilgisayarla tüm etkileşimleri kaydetti ve Danabot’un sahtekarlık yönelimli versiyonundan farklı bir sunucuya gönderdi.
İki şüpheli yakalanmadı, ancak Botnets’in komuta ve kontrol sunucuları ele geçirildi ve ABD hükümeti Danabot kurbanlarını bilgilendirmek ve makinelerini temizlemelerine yardımcı olmak için ortaklarla (Shadowserver Foundation dahil) çalışıyor.
Yine Perşembe günü ABD DOJ, Qakbot kötü amaçlı yazılımları geliştiren ve konuşlandıran çetenin lideri olduğu iddia edilen Rusya’nın Moskova kentinden Rustam Rafailevich Gallyamov’a karşı suçlamalar yaptı.
“Gallyamov, kurban bilgisayarlara erişim kazandıktan sonra, bilgisayarlara prolock, dopplepaymer, egregor, revil, conti, isim dolabı, siyah basta ve cactus gibi fidye yazılımları ile enfekte olan eş kompresatörlere erişim sağladı.
Qakbot Botnet, 52 sunucusunun ele geçirildiği ve kötü amaçlı yazılımların dünya çapında 700.000’den fazla kurban bilgisayarından kaldırıldığı Ağustos 2023’te sakatlandı. O sırada ABD yetkilileri, Qakbot siber suçlu organizasyonu tarafından kontrol edilen cüzdanlardan 8,6 milyon dolar kripto para kazandı.
ABD DOJ, Qakbot bot ağının sakatlanmasından sonra kuruluşlar, çalışanlarını şirket bilgisayarlarına erişim sağlamak için kandırmak için “spam bomba” saldırıları kuruluşlarını kullanmaya geçti.
Devam eden bir operasyon
Endgame Operasyonu, bir dizi özel sektör siber güvenlik şirketinin (Sekoia, Zscaler, Crowdstrike, Proofpoint, Fox-IT, ESET ve diğerleri), Shadowserver gibi kar amacı gütmeyen kuruluşların ve Cryptolaemus gibi beyaz şapka gruplarının yardımına dayanmaktadır.
“Danabot’un yayından kaldırılması, sadece bir Ecrime operasyonuna değil, Rus hükümetinin çıkarlarını uyumlu hale getirdiği anlaşılan bir siber yeteneğe önemli bir darbe temsil ediyor. Dava (…), bazı Rus Ecrime gruplarını neden siyasi lens yoluyla görmemiz gerektiğini vurgulamak zorunda,” Danabot’un sadece ceza işletmeleri yerine devlet gücü uzantıları olarak görmemiz.
Zscaler, 50 takma adın listesi de dahil olmak üzere Maas Danabot operasyonu hakkında daha fazla bilgi verdi. Tehdit araştırmacıları, “Danabot üzerindeki spesifik etkiler belirsiz kalırken, bağlı tehdit aktörlerinin bazılarının saldırılarında devam etmesi muhtemeldir” dedi.
“Daha önce aksaklıkların tehdit manzarası üzerinde önemli etkileri olduğunu görmüştük. Örneğin, geçen yılki Operasyon Endgame kesintisinden sonra, bozulma ile ilişkili ilk erişim kötü amaçlı yazılımları ve kötü amaçlı yazılımları kullanan aktörler, e -posta tehdidi ortamından büyük ölçüde kayboldu.
“Siber suçlu aksamalar ve kolluk eylemleri sadece kötü amaçlı yazılım işlevselliğini ve kullanımı bozmakla kalmaz, aynı zamanda taktiklerini değiştirmeye, cezai ekosistemde güvensizliğe neden olmaya zorlayarak ve potansiyel olarak suçluların farklı bir kariyer bulmayı düşünmelerini sağlayarak maliyet getirir.”
Endgame Operasyonu henüz bitmedi. Europol tanımlar, devam eden ve “uzun vadeli bir operasyon” olarak adlandırılır ve resmi sitesindeki geri sayım önümüzdeki günlerde ek kazançlar önermektedir.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!