Endgame Operasyonu’nun arkasındaki emniyet yetkilileri, Odd adıyla anılan ve Emotet kötü amaçlı yazılımının arkasındaki beyin olduğu iddia edilen bir kişiyle ilgili bilgi arıyor.
Ajansların yayınladığı bir videoya göre Odd’un son birkaç yıldır Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron takma adlarını da kullandığı söyleniyor.
“Kiminle çalışıyor? Şu anki ürünü nedir?” diye devam eden video, kendisinin muhtemelen tek başına hareket etmediğini ve Emotet dışındaki kötü amaçlı yazılımlar konusunda başkalarıyla işbirliği yapıyor olabileceğini öne sürüyor.
Emotet’in arkasındaki tehdit aktörleri siber güvenlik topluluğu tarafından Gold Crestwood, Mealybug, Mummy Spider ve TA542 takma adlarıyla takip ediliyor.
Başlangıçta bir bankacılık truva atı olarak tasarlanan bu virüs, TrickBot, IcedID, QakBot ve diğerleri gibi kötü amaçlı yazılımların yanı sıra diğer yükleri de dağıtabilen daha geniş amaçlı bir araca dönüştü. Altyapısını kapatan bir kolluk kuvvetleri operasyonunun ardından, düşük hacimli kampanyaların bir parçası olarak da olsa 2021’in sonlarında yeniden ortaya çıktı.
Mart 2023 gibi yakın bir tarihte, kötü amaçlı yazılımın güncellenmiş bir sürümünü dağıtan saldırı zincirlerinin, güvenlik kısıtlamalarını aşmak amacıyla Microsoft OneNote e-posta eklerinden yararlandığı tespit edildi. Nisan 2023’ün başından bu yana vahşi doğada Emotet ile ilgili yeni bir aktivite gözlemlenmedi.
Çağrı, ilk erişim aracısı (IAB) ekosistemini ortadan kaldırmak amacıyla IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi kötü amaçlı yazılım yükleme operasyonlarıyla ilişkili dört tutuklama ve 100’den fazla sunucunun kapatılmasıyla sonuçlanan kapsamlı bir koordinasyon çabasının ardından geldi fidye yazılımı saldırılarını besleyen bir şey.
Almanya Federal Kriminal Polis Ofisi (diğer adıyla Bundeskriminalamt), SmokeLoader ve Trickbot kötü amaçlı yazılım operasyonlarında önemli rol oynadığına inanılan sekiz siber suçlunun kimliğini de açıkladı. O zamandan beri hepsi AB’nin En Çok Arananlar Listesi’ne eklendi.
Ukrayna Ulusal Polisi (NPU) yaptığı açıklamada, “Bütün bu kötü niyetli hizmetler, BlackBasta, Revil, Conti gibi Rus siber suç örgütlerinin cephaneliğindeydi ve tıbbi kurumlar da dahil olmak üzere düzinelerce Batılı şirkete saldırmalarına yardımcı oldu.” dedi.
Kötü amaçlı yazılım ailelerini içeren siber saldırılar, kurbanları hedeflemek ve kötü amaçlı e-postaları yaymak için ele geçirilmiş hesaplara güveniyor; botnet operatörleri, ağlara ve kuruluşlara ilk erişim sağlamak için uzaktan erişim truva atları (RAT’lar) ve bilgi hırsızları kullanılarak elde edilen çalıntı kimlik bilgilerini kullanıyor.
İsviçreli siber güvenlik firması PRODAFT’ın operasyonun ardından The Hacker News ile paylaştığı veriler, XSS.IS gibi yeraltı forumlarındaki suç aktörlerinin tetikte olduğunu ve bratva kod adlı moderatörün diğerlerini dikkatli olmaya ve sanal özel bilgilerinin olup olmadığını kontrol etmeye çağırdığını gösteriyor. sunucular (VPS’ler) 27-29 Mayıs 2024 tarihleri arasında kapatıldı.
Bratva’nın ayrıca Bundeskriminalamt’ın ortaya çıkardığı sekiz kişinin isimlerini paylaştığı ve Oyunsonu Operasyonu’nun “sızdırılan Conti’nin büyük sonuçlarından biri” olduğuna dikkat çektiği görüldü. [ransomware] kütükler.”
Diğer aktörler, sohbetleri kimin sızdırmış olabileceğini yüksek sesle merak etmek için foruma gittiler ve kolluk kuvvetleriyle çalışan bir “fare” olasılığını gündeme getirdiler. Ayrıca Romanya ve İsviçre’nin, terörizm gibi “aşırı bir tehdit” olmadığı sürece kendi sınırları içinde ikamet eden suç aktörleriyle ilgili verileri paylaşmayacaklarını da iddia ettiler.
“[The] FBI, “kendisi” diyerek her şeye baskın yapabilir [sic] phant0m takma adını kullanan bir kullanıcı “terörizm” dedi.