Operazione Endgame, una campagna senza precedenti nella lotta alle botnet

Una vasta operazione di polizia internazionale è stata condotta contro le reti criminali dietro i famigerati dropper di malware, strumenti chiave utilizzati dai cybercriminali per diffondere ransomware e altre minacce informatiche. L'operazione, enominata Endgame, è stata coordinata da Europol e ha riunito forze dell'ordine da diversi Paesi tra il 27 e il 29 maggio scorsi.

Lo scopo dell'operazione Endgame è stato quello di smantellare le infrastrutture criminali che consentono la diffusione di dropper come i famigerati IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Si tratta di strumenti che svolgono un ruolo cruciale nell'ecosistema della criminalità informatica, facilitando gli attacchi ransomware e altri attacchi dannosi.

I dropper sono un tipo di malware progettato per installare altro malware su un sistema preso di mira. Si tratta di strumenti che vengono utilizzati durante la prima fase di un attacco malware, consentendo ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi come virus, ransomware o spyware. I dropper stessi di solito non causano danni diretti, ma sono cruciali per l'accesso e l'implementazione di software dannosi sui sistemi interessati.

Le azioni delle forze dell'ordine si sono concentrate sull'interruzione di questi servizi criminali attraverso l'arresto di obiettivi di alto valore, la distruzione dell'operatività delle infrastrutture e il congelamento dei proventi illegali.

Francia, Germania e Paesi Bassi hanno guidato l'operazione, con il supporto di Eurojust e il coinvolgimento di Danimarca, Regno Unito e Stati Uniti. Inoltre, Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina hanno contribuito con arresti, interrogatori di sospetti, perquisizioni, sequestri e rimozione di server e di domini. L'operazione è stata supportata anche da una serie di partner privati a livello nazionale e internazionale, tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD.

L'operazione ha portato a 4 arresti (1 in Armenia e 3 in Ucraina), 16 perquisizioni (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina), oltre 100 server rimossi o disattivati in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito, Stati Uniti e Ucraina, e oltre 2.000 domini passati sotto il controllo delle forze dell'ordine.

Le indagini hanno anche rivelato che uno dei principali sospettati ha guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware. Le transazioni di questo sospettato sono costantemente monitorate, e le autorità hanno già ottenuto l'autorizzazione legale per sequestrare questi beni in future azioni.

Tra i dropper su cui le forze dell'ordine hanno concentrato i loro sforzi ci sono SystemBC, che ha facilitato la comunicazione anonima tra un sistema infetto e un server di comando e controllo; Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi e progettato per consentire la consegna e l'esecuzione di ulteriori payload su sistemi compromessi; SmokeLoader, utilizzato principalmente come downloader per installare ulteriori software dannosi; IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario ma ulteriormente sviluppato per servire altri crimini informatici oltre al furto di dati finanziari; e Pikabot, un trojan utilizzato per ottenere l'accesso iniziale ai computer infetti e consentire la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati.

L'operazione Endgame è la più grande mai effettuata nella lotta alle botnet, rappresentando di fatto una campagna senza precedenti. Dopo le giornate dell'operazione, otto fuggitivi collegati a queste attività criminali, ricercati dalla Germania, saranno aggiunti all'elenco dei più ricercati d'Europa il 30 maggio 2024, in quanto ricercati per il loro coinvolgimento in gravi attività di criminalità informatica.

L'Europol sottolinea che "l'opereazione Engame non finisce qui": è stato istituito un sito dedicato tramite il quale chiunque può condividere informazioni cruciali che possano aiutare le forze dell'ordine ad individuare nuovi criminali e infrastrutture. Sul sito si legge, in maniera un po' provocatoria:

"Questa è la prima stagione dell'operazione Endgame. Resta sintonizzato. Sicuramente sarà emozionante. Forse non per tutti però. Alcuni risultati li puoi trovare qui, altri arriveranno in modi diversi e inaspettati".