L’operazione internazionale Endgame, condotta tra il 27 e il 29 maggio 2024 e coordinata dal quartier generale di Europol, ha colpito duramente l’ecosistema del malware dropper, in particolare i dropper IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. L’operazione, la più grande mai realizzata contro le botnet, ha visto la partecipazione di numerosi paesi e partner privati e si è concentrata sull’interruzione dei servizi criminali attraverso l’arresto di obiettivi di alto valore, la demolizione delle infrastrutture criminali e il congelamento dei proventi illegali.
Il malware, la cui infrastruttura è stata demolita durante i giorni dell’azione, ha facilitato gli attacchi con ransomware e altri software dannosi. Le azioni hanno portato a quattro arresti e alla rimozione di oltre 100 server in tutto il mondo, tra cui in Bulgaria, Canada, Germania, Lituania, Paesi Bassi, Romania, Svizzera, Regno Unito e Stati Uniti. Inoltre, oltre 2000 domini sono stati posti sotto il controllo delle forze dell’ordine.
Si tratta della più grande operazione mai realizzata contro le botnet, che svolgono un ruolo importante nella diffusione del ransomware. L’operazione, avviata e guidata da Francia, Germania e Paesi Bassi, ha ricevuto il sostegno di Eurojust e ha coinvolto anche Danimarca, Regno Unito e Stati Uniti, oltre a numerosi altri paesi come Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina, che hanno condotto azioni di arresto, interrogatorio di sospetti, perquisizioni e sequestri o rimozione di server e domini. Importanti partner privati a livello nazionale e internazionale, tra cui Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus e DIVD, hanno supportato l’operazione.
Durante l’operazione Endgame, sono state condotte 16 ricerche di località (1 in Armenia, 1 nei Paesi Bassi, 3 in Portogallo e 11 in Ucraina) e uno dei principali sospettati è risultato aver guadagnato almeno 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per diffondere ransomware.
I dropper, come quelli colpiti dall’operazione, sono software dannosi progettati per installare altri malware su un sistema di destinazione. Utilizzati durante la prima fase di un attacco malware, consentono ai criminali di aggirare le misure di sicurezza e implementare ulteriori programmi dannosi come virus, ransomware o spyware. SystemBC, per esempio, facilita la comunicazione anonima tra un sistema infetto e un server di comando e controllo. Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, consente la consegna e l’esecuzione di ulteriori payload su sistemi compromessi. SmokeLoader viene utilizzato principalmente come downloader per installare ulteriori software dannosi sui sistemi infetti, mentre IcedID (noto anche come BokBot), inizialmente classificato come trojan bancario, è stato sviluppato per servire altri crimini informatici oltre al furto di dati finanziari. Pikabot è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti, consentendo la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati.
Europol ha facilitato lo scambio di informazioni e ha fornito supporto analitico, di criptotracciamento e forense alle indagini. Per il coordinamento dell’operazione, Europol ha organizzato oltre 50 chiamate con i paesi coinvolti e uno sprint operativo presso la sua sede. Più di 20 agenti delle forze dell’ordine di Danimarca, Francia, Germania e Stati Uniti hanno supportato le azioni operative dal comando di Europol, mentre centinaia di altri ufficiali hanno partecipato alle operazioni. Un posto di comando virtuale ha consentito il coordinamento in tempo reale tra gli ufficiali armeni, francesi, portoghesi e ucraini sul campo.
L’operazione Endgame non si conclude qui; nuove azioni verranno annunciate sul sito web dedicato. Sospettati e testimoni troveranno informazioni su come contattare le autorità tramite il sito web Operation Endgame.