TL; DR: Çekiç sadece kötü amaçlı yazılım yaratıcıları değil, aynı zamanda onları finanse eden kullanıcılar da geliyor. Başkalarını tehlikeye atmak için para ödediyseniz, bilgileriniz ele geçirilen veritabanında olabilir ve kolluk kuvvetleri çalıyor olabilir.
Kuzey Amerika ve Avrupa’daki yetkililer, şu anda yok olan Smokeloader Botnet’in kullanıcılarını tutuklamaya başladılar ve siber suç yaptırmasında bir değişim işaretlediler. Bu bireyler enfekte bilgisayarlara erişim için ödeme yaptı ve bunları fidye yazılımı, casus yazılım ve kriptominerler dahil olmak üzere kötü amaçlı yazılım dağıtmak için kullandılar.
Eylem, Endgame Operasyonunun takipinin bir parçası, Mayıs 2024’te büyük yayından kaldırma Bu, Smokeloader, IcedID, SystemBC, Bumblebee ve Pikabot’un arkasındaki altyapıyı söktü.
Kötü amaçlı yazılım operatörlerine odaklanan orijinal operasyondan farklı olarak, bu aşama, Smokeloader’ın “Superstar” olarak bilinen bir siber suçlu tarafından işletilen çalışma başına ödeme hizmetinden erişim satın alan müşterileri hedefliyor.
Kanıt ele geçirilen botnet veritabanından geldi
2024 yayından kaldırma sırasında kolluk kuvvetleri, enfekte makinelere kimin erişim satın aldığını gösteren arka uç veritabanları aldı. Müfettişler kullanıcı adlarını ve ödeme bilgilerini gerçek kimliklerle eşleştirdiler. Bazı şüpheliler güvende olduklarına inanıyorlardı, ancak aylar sonra arama emri veya resmi suçlamalarla yaklaşılacaklardı.
Birkaç durumda, Europol’a göre basın bülteniŞüpheliler işbirliği yaptı ve araştırmacılara dijital kanıtlar sağladı. Diğerlerinin kâr için duman yükleyicinin erişimini yeniden sattığı bulundu.
Yayından kaldırılmasına rağmen smokeloader hala aktif
Smokeloader altyapısı Mayıs 2024’te bozulmuş olsa da, kötü amaçlı yazılım dolaşmaya devam ediyor. Şubat 2025’teUkrayna’nın en büyük bankası Privatbank’ın müşterileri, duman yükleyiciyi teslim eden büyük ölçekli bir kimlik avı kampanyası tarafından vuruldu.
Daha önce, Aralık 2024’tekötü amaçlı yazılım, Windows sistemlerini enfekte etmek ve tarayıcı kimlik bilgilerini çalmak için Microsoft Office güvenlik açıklarından yararlanan hedefli saldırılarda kullanıldı.
Soruşturma açık kalıyor. Yetkililer, daha fazla eylem bekleniyor. Özel bir web sitesi, operation-endgame.comipuçlarını toplamak ve güncellemeler yapmak için başlatıldı.
Jake MooreESET’te siber güvenlik danışmanı, operasyonu “siber suç ağlarında önemli bir bozulma” olarak adlandırdı, ancak kovuşturmanın sağlam kanıtlara bağlı olacağı konusunda uyardı.
Moore, “Bu tür uluslararası koordinasyonun çekilmesi zor” dedi. “Ama şimdi asıl zorluk mahkemede – cihazlar ve cezai niyet için veriler.”
Operasyonda yer alan kolluk kuvvetleri, Europol ve Ortak Siber Sibir Eylem Görev Gücü (J-CAT) tarafından koordine edilen ABD, Kanada, Almanya, Fransa, Hollanda, Danimarka ve Çek Cumhuriyeti’nden kurumları içermektedir.