“Operasyon Sonu Operasyonu” adı verilen ortak bir uluslararası yasa uygulama eyleminde kurumlar ve adli makamlar, IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee ve TrickBot gibi kötü şöhretli kötü amaçlı yazılım damlatıcılarını hedef alarak büyük botnet altyapısını ortadan kaldırdı.
Perşembe günü yapılan bir duyuruda Europol, 27-29 Mayıs tarihleri arasında Endgame Operasyonu’nun dünya çapında dört tutuklamaya ve 100’den fazla sunucunun kapatılmasına yol açtığını söyledi.
“Bu, fidye yazılımının yayılmasında önemli bir rol oynayan botnet’lere karşı şimdiye kadarki en büyük operasyon.” Europol dedi.
Bot ağları, fidye yazılımı, kimlik hırsızlığı, kredi kartı dolandırıcılığı ve diğer birçok mali suç dahil olmak üzere farklı türde siber suçlar için kullanılır. “Parçalanan botnet’ler milyonlarca virüslü bilgisayar sisteminden oluşuyordu” Endgame Operasyonu ekibinden ortak basın açıklaması yapıldı.
Fransa, Almanya ve Hollanda’nın öncülük ettiği ve Eurojust’ın desteklediği operasyona Danimarka, İngiltere, ABD, Ermenistan, Bulgaristan, Litvanya, Portekiz, Romanya, İsviçre ve Ukrayna gibi ülkeler katıldı.
Endgame Operasyonunun sonuçları:
- 4 tutuklama – 1’i Ermenistan’da ve 3’ü Ukrayna’da.
- 16 konum araması – 1’i Ermenistan’da, 1’i Hollanda’da, 3’ü Portekiz’de ve 11’i Ukrayna’da.
- 100’den fazla sunucu söküldü veya bozuldu Bulgaristan, Kanada, Almanya, Litvanya, Hollanda, Romanya, İsviçre, İngiltere, ABD ve Ukrayna gibi ülkelerde.
- 2.000’den fazla alan adı ele geçirildi ve kolluk kuvvetlerinin kontrolü altına alındı.
- 8 celp de tebliğ edildi diğer şüphelilere karşı
Siber Suç Altyapısını Hedeflemek
Endgame Operasyonu, yüksek değerli hedeflere, bunların çeşitli kötü amaçlı yazılımların ardındaki suç altyapılarına ve yasa dışı gelirlerin dondurulmasına odaklandı.
Europol’e göre, “Eylem günlerinde altyapısı çöken kötü amaçlı yazılım, fidye yazılımı ve diğer kötü amaçlı yazılımlarla saldırıları kolaylaştırdı.”
Europol, birincil şüphelilerden birinin, fidye yazılımı dağıtımı için siteleri kiralayarak en az 69 milyon Euro değerinde kripto para kazandığını söyledi. Yetkililer bu işlemleri yakından izliyor ve varlıklara el koymak için gerekli izinleri aldılar. Yetkililer, altyapı ve mali ele geçirmelerin, damlayan ekosistem üzerinde küresel bir etki yarattığına inanıyor.
Key Dropper Kötü Amaçlı Yazılımı Endgame Operasyonunda Kaldırıldı
– SistemBC: Etkilenen sistemler ile komuta ve kontrol sunucuları arasında anonim iletişim kolaylaştırıldı.
– Yaban arısı: Kimlik avı kampanyaları veya güvenliği ihlal edilmiş web siteleri aracılığıyla teslim edilir ve daha fazla yük yürütülmesine olanak tanır.
– Duman yükleyici: Öncelikle ek kötü amaçlı yazılım indirmek ve yüklemek için kullanılır.
– Buzlu Kimlik (BokBot): Bir bankacılık truva atından, çeşitli siber suçlara yönelik çok amaçlı bir araca dönüştü.
– Pikabot: Fidye yazılımı dağıtımını, uzaktan devralmaları ve ilk sistem erişimi yoluyla veri hırsızlığını etkinleştirdi.
“Hepsi artık fidye yazılımı dağıtmak için kullanılıyor ve enfeksiyon zincirindeki ana tehdit olarak görülüyor.” Europol dedi.
Siber Saldırılarda Dropper Kötü Amaçlı Yazılımın Rolü
Damlalıklar, siber saldırılarda güvenliği atlamak ve fidye yazılımı ve casus yazılım gibi zararlı yazılımları yüklemek için ilk vektör görevi gören temel araçlardır. Güvenliği ihlal edilmiş sistemlere ek kötü amaçlı yazılımların konuşlandırılmasını sağlayarak daha fazla kötü amaçlı aktiviteyi kolaylaştırırlar.
Damlalıklar Nasıl Çalışır?
- Süzülme: Sistemlere e-posta ekleri, güvenliği ihlal edilmiş web siteleri veya yasal yazılımlarla birlikte verilenler yoluyla girin.
- Uygulamak: Kullanıcının bilgisi olmadan kurbanın bilgisayarına ek kötü amaçlı yazılım yüklemek.
- Kaçınma: Kod gizleme ve bellekte çalıştırma gibi yöntemlerle güvenlik yazılımı tarafından tespit edilmekten kaçının.
- Yük Teslimatı: Ek kötü amaçlı yazılım dağıtın, potansiyel olarak etkisiz hale gelebilir veya tespit edilmekten kaçınmak için kendini kaldırabilir.
Operasyonun başarısı, diğerlerinin yanı sıra Bitdefender, Sekoia, Shadowserver, Proofpoint ve Fox-IT gibi özel ortaklar tarafından da desteklendi. Yetkililer, onların desteğinin suç ağlarını ve altyapısını bozmada çok önemli olduğunu söyledi.
Endgame Operasyonu Sezon 2’yi bekleyin
Endgame Operasyonu büyük bir zafer anlamına geliyor ancak bu aslında işin sonu değil. Marvel sinema filmi ‘Avengers – Endgame’den ilham alan kolluk kuvvetleri, çalışmalarının devam ettiğini söyleyerek bu operasyonun ikinci bölümünü birkaç saat içinde yayınlayacak.
“Bu, Endgame operasyonunun 1. Sezonu. Bizi izlemeye devam edin. Kesinlikle heyecan verici olacak. Belki de herkes için değil. Bazı sonuçlar burada bulunabilir, diğerleri ise size farklı ve beklenmedik şekillerde gelecektir”. yetkililer söyledi.
“İletişime geçmekten çekinmeyin, bize ihtiyacınız olabilir. Elbette ikimiz de açık yürekli bir diyalogdan faydalanabiliriz. Ne ilk olacaksın, ne de son olacaksın. Bir sonraki hamlenizi düşünün.”
Gelecekteki eylemler, muhtemelen şüphelileri ve kullanıcıları hedef alacak ve hesap verebilirliği sağlayacak şekilde Endgame Operasyonu web sitesinde duyurulacak.
Bu devasa botnet kaldırma operasyonunun haberi, “muhtemelen dünyanın şimdiye kadarki en büyük botnet’i” olan 911 S5 botnet’in kaldırılacağının duyurulmasından bir gün sonra geldi. Botnet’in sözde yöneticisi Yunhe Wang geçen hafta tutuklandı ve ardından FBI tarafından altyapıya ve varlıklara el konulduğu duyuruldu.
Son dönemdeki kolluk kuvvetlerinin eylemleri, siber suçlarla mücadelede tarihi bir kilometre taşını temsil ediyor ve fidye yazılımlarını ve diğer kötü amaçlı etkinlikleri destekleyen kötü amaçlı yazılım ekosistemine önemli bir darbe indiriyor. Operasyonun başarısı, uluslararası işbirliğinin önemini ve gelişen tehditlerle mücadele etmek için güçlü siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor.