Yetkililer IcedID, Pikabot ve Damlalıklara Ele Geçirdi


Endgame Operasyonu: Yetkililer IcedID, Pikabot ve Diğer Dropper'lara Ele Geçirdi

27-29 Mayıs 2024 tarihleri ​​arasında, Europol liderliğindeki, Endgame Operasyonu olarak bilinen koordineli bir çalışma, IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee ve Trickbot gibi bir dizi kötü amaçlı yazılım düşürücüyü hedef aldı.

Bu operasyon, yüksek değerli hedefleri tutuklayarak, suç altyapılarını ortadan kaldırarak ve yasa dışı gelirleri dondurarak suç hizmetlerini aksatmayı amaçlıyordu.

Operasyonun, fidye yazılımı ve diğer kötü amaçlı yazılım saldırılarını kolaylaştıran dropper ekosistemi üzerinde önemli bir küresel etkisi oldu.

Botnet’lere Karşı En Büyük Operasyon

Bu operasyon, fidye yazılımının yayılmasında hayati önem taşıyan botnet’lere yönelik şimdiye kadarki en büyük baskıyı işaret ediyor.

Fransa, Almanya ve Hollanda tarafından başlatılan ve yönetilen operasyon, Eurojust’tan da destek aldı ve aralarında Danimarka, Birleşik Krallık ve ABD’nin de bulunduğu çok sayıda ülkeyi kapsıyordu.

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo 

Tutuklamalar, şüpheli görüşmeleri, aramalar, sunucu ve alan adının kapatılması gibi çeşitli eylemlerle Ermenistan, Bulgaristan, Litvanya, Portekiz, Romanya, İsviçre ve Ukrayna’dan ek destek geldi.

Endgame Operasyonunun Temel Sonuçları

Koordineli eylemler önemli sonuçlara yol açtı:

  • Tutuklamalar: 4 tutuklama (1’i Ermenistan’da, 3’ü Ukrayna’da)
  • Konum Aramaları: 16 arama (Ermenistan’da 1, Hollanda’da 1, Portekiz’de 3 ve Ukrayna’da 11)
  • Sunucu Kesintileri: Bulgaristan, Kanada, Almanya, Litvanya, Hollanda, Romanya, İsviçre, Birleşik Krallık, Amerika Birleşik Devletleri ve Ukrayna’da 100’den fazla sunucu kapatıldı veya kesintiye uğradı
  • Etki Alanı Kontrolü: 2.000’den fazla alan adı artık kolluk kuvvetlerinin kontrolü altında

Soruşturmalar, ana şüphelilerden birinin fidye yazılımı dağıtımı için suç altyapı sitelerini kiralayarak en az 69 milyon Euro değerinde kripto para kazandığını ortaya çıkardı.

Yetkililer şüphelinin işlemlerini izliyor ve gelecekteki eylemlerde bu varlıklara el koymak için yasal izin aldılar.

Damlalık Nedir?

Kötü amaçlı yazılım düşürücüler, hedef sisteme diğer kötü amaçlı yazılımları yüklemek için tasarlanmış kötü amaçlı yazılımlardır.

Kötü amaçlı yazılım saldırısının ilk aşamasında kullanılırlar ve suçluların güvenlik önlemlerini atlamasına ve virüs, fidye yazılımı veya casus yazılım gibi ek zararlı programları dağıtmasına olanak tanır.

Damlalıklar genellikle doğrudan hasara neden olmasa da, etkilenen sistemlerde zararlı yazılımlara erişmek ve bunları uygulamak için çok önemlidir.

Damlalıklar Nasıl Çalışır?

  1. Süzülme: Damlalıklar, e-posta ekleri veya güvenliği ihlal edilmiş web siteleri gibi çeşitli kanallar aracılığıyla sistemlere girebilir ve yasal yazılımlarla birlikte paketlenebilir.
  2. Uygulamak: Çalıştırıldıktan sonra, damlalık, genellikle kullanıcının bilgisi veya izni olmadan, kurbanın bilgisayarına ek kötü amaçlı yazılım yükler.
  3. Kaçınma: Damlalıklar, kod gizleme, diske kaydetmeden bellekte çalıştırma veya yasal yazılım işlemlerinin kimliğine bürünme gibi yöntemler kullanarak güvenlik yazılımı tarafından algılanmayı önlemek üzere tasarlanmıştır.
  4. Yük Teslimatı: Ek kötü amaçlı yazılım dağıtıldıktan sonra, damlalık ya pasif kalabilir ya da tespit edilmekten kaçınmak için kendisini kaldırarak yükün kötü amaçlı faaliyetler yürütmesine neden olabilir.

Hedeflenen Belirli Damlalıklar

  • SistemBC: Etkilenen sistemler ile komuta ve kontrol sunucuları arasındaki anonim iletişim kolaylaştırıldı.
  • yaban arısı: Esas olarak kimlik avı kampanyaları veya güvenliği ihlal edilmiş web siteleri aracılığıyla dağıtılır ve daha fazla verinin teslim edilmesine ve yürütülmesine olanak sağlar.
  • Duman Yükleyici: Öncelikle ek kötü amaçlı yazılım yüklemek için indirici olarak kullanılır.
  • Buzlu Kimlik (BokBot): Başlangıçta bir bankacılık truva atıydı, artık finansal veri hırsızlığı da dahil olmak üzere çeşitli siber suçlar için kullanılıyor.
  • Pikabot: Virüs bulaşmış bilgisayarlara ilk erişim sağlamak, fidye yazılımı dağıtımını, uzaktan bilgisayar ele geçirmeyi ve veri hırsızlığını mümkün kılmak için kullanılan bir truva atı.

Endgame Operasyonu burada bitmiyor. Yeni eylemler Endgame Operasyonu web sitesinde duyurulacaktır.

Bunlara ve diğer botnet’lere karışan ve henüz tutuklanmayan şüpheliler sorumlu tutulacak.

Şüpheli ve tanıklara nasıl ulaşılacağına ilişkin bilgiler internet sitesinde yer alacak.

Europol’deki Komuta Merkezi

Europol bilgi alışverişini kolaylaştırdı ve analitik, kripto izleme ve adli tıp desteği sağladı. Europol, operasyonu koordine etmek için genel merkezinde 50’den fazla koordinasyon çağrısı ve operasyonel bir sprint düzenledi.

Danimarka, Fransa, Almanya ve Amerika Birleşik Devletleri’nden 20’den fazla kolluk kuvveti görevlisi, dünya çapında yüzlerce başka memurun katılımıyla Europol’deki komuta merkezindeki koordinasyonu destekledi.

Sanal bir komuta merkezi, saha faaliyetleri sırasında Ermenistan, Fransa, Portekiz ve Ukrayna görevlileri arasında gerçek zamanlı koordinasyona olanak sağladı.

İlgili Ulusal Yetkililer

AB Üye Devletleri:

  • Danimarka: Danimarka Polisi (Politi)
  • Fransa: Ulusal Jandarma (Jandarma Nationale) ve Ulusal Polis (Polis Nationale); Cumhuriyet Savcılığı JUNALCO (Organize Suça Karşı Ulusal Yargı Yetkisi) Siber Suçlar Birimi; Paris Adli Polisi (Préfecture De Police de Paris)
  • Almanya: Federal Kriminal Polis Ofisi (Bundeskriminalamt), Başsavcılık Frankfurt am Main – Siber Suç Merkezi
  • Hollanda: Ulusal Polis (Polis), Savcılık (Savcılık)

AB Üyesi Olmayan Devletler:

  • Birleşik Krallık: Ulusal Suç Ajansı
  • Amerika Birleşik Devletleri: Federal Soruşturma Bürosu, Amerika Birleşik Devletleri Gizli Servisi, Savunma Ceza Soruşturma Servisi, Amerika Birleşik Devletleri Adalet Bakanlığı

Endgame Operasyonu, siber suçlarla mücadelede uluslararası iş birliği ve koordinasyonun gücünü gösteren önemli bir kilometre taşını temsil ediyor.

Operasyonun büyük botnet’leri engelleme ve önemli şüphelileri tutuklamadaki başarısı, dünya çapındaki siber suçlulara güçlü bir mesaj gönderiyor.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link