A Europol detém vários indivíduos que se acredita estarem envolvidos em uma operação de botnet como parte de um acompanhamento de uma grande queda no ano passado, decorrente do maior “Operação Endgame” que desmantelou os principais droppers de malware.
Após a investigação da Operação Endgame, os principais gotas de malware, incluindo IceDID, SystemBC, Pikabot, Smokeloader e Bumblebee, foram fechados no ano passado. De acordo com a Europol, a análise do conteúdo de um banco de dados apreendido permitiu identificar os clientes da botnet smokeloader Pay-Per-Install, operada por um indivíduo conhecido como ‘superestrela’. A agência de aplicação da lei agora fez prisões, realizou buscas em casa e conduziu mandados de prisão ou ‘bata e palestras’.
“A Superstar usou sua botnet para executar um serviço de pagamento por instalação, permitindo que os clientes obtenham acesso às máquinas das vítimas. Os clientes usaram o serviço para implantar malware para suas próprias atividades criminosas”, disse Europol. As investigações revelaram que o acesso à botnet foi adquirido para uma variedade de fins, incluindo keylogging, acesso à webcam, implantação de ransomware, criptomínio e muito mais. A aplicação da lei rastreou os clientes quando eles foram registrados em um banco de dados apreendido durante a Operação Endgame.
O malware havia infectado milhões de computadores em todo o mundo, de acordo com o FBI. O SystemBC facilitou a comunicação anônima entre um sistema infectado e servidores de comando e controle. O Smokeloader foi usado principalmente como downloader para instalar um software malicioso adicional nos sistemas que infectou. Da mesma forma, o IceDID – também conhecido como Bokbot – havia sido desenvolvido para realizar uma série de crimes, bem como o roubo de dados financeiros.
Como parte da operação do ano passado – a maior de todos os tempos contra uma botnet – mais de 100 servidores foram fechados ou interrompidos e mais de 2.000 domínios da Internet vinculados às atividades de hackers foram apreendidos. Mas enquanto as atividades de maio passado estavam focadas nos jogadores de alto nível que estavam usando ransomware, por exemplo, este mais recente conjunto de ataques foi projetado para limpar os clientes do cibercrime como provedores de serviços.
As agências policiais em vários países conseguiram vincular pessoas on -line e seus nomes de usuário a indivíduos reais. “Quando chamado para interrogatório, vários suspeitos optaram por cooperar com as autoridades, facilitando o exame de evidências digitais armazenadas em seus dispositivos pessoais”, disse Europol. “Vários suspeitos revenderam os serviços comprados da Smokeloader em uma marcação, adicionando assim uma camada de interesse adicional à investigação”.
A Europol disse que ainda não acabou. A agência de aplicação da lei ainda está investigando possíveis leads, revelando que tem mais suspeitos na mira.
Source: Clientes da Botnet da Europol Nets na Operação Endgame de acompanhamento
