Europol je objavil, da je bil v okviru operacije Endgame, obsežne mednarodne operacije, usmerjene v kriminalno infrastrukturo, ki stoji za izsiljevalsko programsko opremo in zlonamerno programsko opremo SocGholish, Amadey in StealC, kriminalcem zadan uničujoč udarec. Skoraj v celoti so jim onemogočili spletno delovanje in jim zasegli preko 41 milijonov evrov kripto sredstev.
Monitor z informacijami o operaciji Endgame (foto: europol.europa.eu)
V zadnjih dveh tednih so organi pregona iz Kanade, Danske, Nemčije, Nizozemske, Združenega kraljestva, ZDA, pa tudi zastopniki ameriškega podjetja za programsko opremo Microsoft in vrste drugih zasebnih partnerjev ter uslužbenci Europola in Eurojusta v novi fazi operacije ‘Endgame’ prekinili poti, ki so jih kibernetski kriminalci uporabljali za lansiranje izsiljevalske programske opreme, finančnih goljufij in napadov na kritično infrastrukturo.
Akcija se je razpletla izjemno uspešno, saj so ukrepali proti 326 strežnikom in 142 domenam, kar je močno ohromilo distribucijsko omrežje zlonamerne programske opreme. Zaplenili so kripto sredstva kriminalnega izvora v trenutni vrednosti preko 41 milijonov evrov (oz. preko 47 milijonov ameriških dolarjev). Poleg tega je bilo v okviru te operacije najdenih kar 27 milijonov ukradenih prijavnih podatkov.
»Nevtralizirane različice zlonamerne programske opreme so bile ponujene kot storitev, drugi kibernetski kriminalci pa so jih uporabljali kot orodje za začetno okužbo ciljnih sistemov. Nato so služile kot izhodišče za nadaljnje kriminalne dejavnosti, kot je namestitev izsiljevalske programske opreme za digitalno izsiljevanje ali goljufiva uporaba podatkov,« so pojasnili z Europola.
Zlonamerna programska oprema SocGholish (tako imenovani dropper/loader) je nepooblaščenim osebam omogočila dostop do računalniških sistemov z distribucijo lažnih posodobitev brskalnika prek ogroženih spletnih mest. Namesto posodobitve so uporabniki interneta nenamerno namestili zlonamerno programsko opremo. Ta pristop, ki je povzročil nešteto žrtev, se izvaja predvsem z vdiranjem v spletna mesta, zgrajena z WordPressom.
Nato se le-ta okužijo z zlonamerno programsko opremo, sledi pa izsiljevanje s strani kriminalcev. Zlonamerna programska oprema StealC (tako imenovani tat s funkcijo spuščanja), ki se je širila prek več vektorjev napada, pa je bila zasnovana predvsem za pridobivanje informacij, kot so gesla, shranjeni podatki za dostop in digitalne identitete, v ter za trgovanje s podatki in goljufivo uporabo.
Tretja zlonamerna programska oprema Amadey (tako imenovani tat/nalagalnik) iste kriminalne združbe se je širila predvsem prek lažnega predstavljanja. Tako je služila kot prvi člen v večji verigi napadov in je bila sposobna vnesti dodatno zlonamerno programsko opremo v ogrožene sisteme. Zlonamerna programska oprema je imela tudi zmogljivosti kraje in je zato lahko pridobila občutljive podatke.
Med akcijo proti SocGholish je bilo saniranih 14.971 okuženih spletnih mest – vključno s spletnimi mesti restavracij, avtomehaničnih delavnic in drugih vsakodnevnih storitev, SocGholish pa je sicer povezan z rusko kibernetsko kriminalno skupino ‘Evil Corp’. Ta skupina je bila prej odgovorna za zlonamerno programsko opremo Zeus in Dridex ter je povezana tudi z več obsežnimi operacijami izsiljevalske programske opreme in pranja denarja.
Z Europola so našteli tudi najpomembnejše protiukrepe, kot so bili čiščenje okuženih spletnih mest WordPress in obveščanje žrtev, s pozivom k posodobitvi svojih platform in okrepitvi prijavnih poverilnic, onemogočanje botneta SocGholish s prevzemom domenskih imen in izklopom strežnikov ter obveščanje žrtev prek platform, kot so HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, Shadowserver in NL-NCSC.
Posebej so omenili nizozemsko policijo, ki je uporabnike WordPressa pozvala naj spremenijo svoje prijavne poverilnice, omogočijo večfaktorsko preverjanje pristnosti, izbrišejo vse neznane dodatne račune WordPressu in v prihodnje posodabljajo svoje spletno mesto WordPress.