Europol ve Eurojust tarafından koordine edilen büyük bir uluslararası operasyonda, kolluk kuvvetleri ve özel sektör ortakları Danabot kötü amaçlı yazılım ağını başarıyla sökmüştür.
Devam eden Operasyon Endgame’in bir parçası olan bu küresel çaba, 16 kişiye karşı federal suçlamalara, 19-22 Mayıs, 2025 arasında dünya çapında yaklaşık 300 sunucunun ve 650 alanın nötralizasyonuna ve 20 hedef için uluslararası tutuklama emri verilmesine yol açtı. Bu son eylem haftasında 3.5 milyon EUR dahil olmak üzere, Operasyon Operasyonu sırasında toplamda 21.2 milyon Euro ‘kripto para birimi de ele geçirildi.
Rusya merkezli bir siber suç organizasyonu tarafından kontrol edilen Danabot kötü amaçlı yazılım, küresel olarak 300.000’den fazla bilgisayarı enfekte ederek sahtekarlık ve fidye yazılımı yoluyla en az 50 milyon dolar hasar veriyor. ABD Adalet Bakanlığı (DOJ) tarafından suçlananlar arasında 39 yaşındaki Aleksandr Stepanov ve 34 yaşındaki Artem Aleksandrovich Kalinkin, her ikisi de Rusya’nın Novosibirsk’ten, genel olarak kaldı.
Danabot’un Evrim Taktikleri
İlk olarak Mayıs 2018’de tanımlanan Danabot, Hizmet Olarak Kötü Yazılım (Maas), yeteneklerini diğer suçlulara kiralıyor. Çok yönlü, bankacılık kimlik bilgilerini çalmak, tarama geçmişi ve hatta kripto para birimi cüzdanı bilgilerini, aynı zamanda uzaktan erişim, keyloglama ve ekran kaydı sunuyordu. İlk enfeksiyonlar genellikle spam e -postaları ile geldi. Hackread.com, Proofpoint araştırmacılarının yayılmasını ilk olarak detaylandırdığı 2019’daki Danabot’un ortaya çıkışını özellikle bildirdi.
2018’den beri Danabot’u dikkatlice izleyen ESET, Polonya, İtalya, İspanya ve Türkiye gibi ülkelerin tarihsel olarak en hedeflileri arasında olduğunu belirterek, en iyi bankacılık kötü amaçlı yazılımlarına evrimini doğruladı.
ESET araştırmacısı Tomáš Procházka, “Hassas verileri ortaya çıkarmanın yanı sıra, Danabot’un fidye yazılımı da içerebilecek daha fazla kötü amaçlı yazılım sunmak için kullanıldığını gözlemledik.” Diye ekledi.
Daha yakın zamanlarda, Bogus sitelerinden indirilen kullanıcıları kandıran “Ücretsiz VPN, anti-virüs yazılımı ve korsan oyunlar” için korsan yazılım anahtarlarında yeni bir Danabot sürümü gizli bulundu.
Mali suçun ötesinde, soruşturma Danabot’un uğursuz ikili amacını ortaya çıkardı. Crowdstrike tarafından Scully Örümcek olarak izlenen bir varyant, casusluk için Kuzey Amerika ve Avrupa’daki askeri, diplomatik ve devlet kuruluşlarını hedef aldı ve ESET tarafından Rus istilasını takiben Ukrayna Savunma Bakanlığı gibi hedeflere karşı DDoS saldırıları başlattı.
Europol’un basın açıklamasına göre, bu büyük yayından kaldırma kapsamlı uluslararası işbirliğinin bir kanıtıdır. Soruşturma, Almanya’nın Bundeskriminalamt (BKA), Hollanda Ulusal Polisi ve Avustralya Federal Polisi’nden önemli yardımlarla FBI’ın Anchorage Saha Ofisi ve Savunma Ceza Soruşturma Servisi (DCIS) tarafından öncülük edildi.
Europol ve Eurojust, Europol Genel Merkezi’nde Kanada, Danimarka, Fransa, Almanya, Hollanda, İngiltere ve ABD’den araştırmacılar içeren bir komuta göreviyle önemli bir koordinasyon sağladı.
Çok sayıda özel siber güvenlik şirketi, Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team Cymru ve Zscaler gibi kritik teknik yardım sağladı. ESET Research, Danabot’un komut ve kontrol sunucularını tanımlamanın yanı sıra kötü amaçlı yazılımların ve arka uç altyapısının teknik analizine özel olarak katkıda bulundu.
Alman yetkililer, 23 Mayıs 2025’ten itibaren AB M daha çok aranan listeye 18 şüpheli ekleyecekler. Bu koordineli eylem, siber suçlu ağlara büyük bir darbe ve büyüyen siber güvenlik tehditlerine karşı küresel ortaklıkların gücünü gösteriyor.
Endgame Operasyonu, “fidye yazılımı öldürme zincirini” kırmayı amaçlıyor. Şimdiye kadar yetkililer, Bumblebee, Latrodectus, Qakbot, HijackLoader, Trickbot ve Warmcookie gibi ilk erişim kötü amaçlı yazılımlarını etkisiz hale getirdiler.