Sono state effettuate due importanti operazioni contro le botnet, inclusa la rimozione da parte degli Stati Uniti di quella che il Dipartimento di Giustizia ha definito “probabilmente la più grande botnet mai vista al mondo”.
Europol, nel frattempo, ha portato a termine quella che definisce la “più grande operazione mai realizzata contro le botnet”, arrestando quattro persone e bloccando 100 server.
La botnet rimossa dagli Stati Uniti ha infettato più di 19 milioni di indirizzi IP e ha causato miliardi di dollari in frodi legate alla pandemia e alla disoccupazione, oltre all’accesso a materiali sullo sfruttamento minorile, molestie, minacce di bombe e violazioni delle esportazioni.
YunHe Wang, 35 anni, cittadino cinese è stato arrestato per aver distribuito malware e creato e gestito un servizio proxy residenziale noto come 911 S5.
I criminali informatici hanno utilizzato indirizzi IP proxy acquistati da 911 S5 per nascondere i loro veri indirizzi IP e commettere un’ampia gamma di reati.
“Lavorando con i nostri partner internazionali, l’FBI ha condotto un’operazione informatica congiunta e sequenziata per smantellare la botnet 911 S5, probabilmente la botnet più grande mai vista al mondo“, ha affermato il direttore dell’FBI Christopher Wray.
“La botnet 911 S5 ha infettato computer in quasi 200 paesi e ha facilitato tutta una serie di crimini informatici, tra cui frodi finanziarie, furto di identità e sfruttamento minorile.“
Dal 2014, 911 S5 avrebbe consentito ai criminali informatici di aggirare i sistemi di rilevamento delle frodi finanziarie e di rubare miliardi di dollari da istituti finanziari, emittenti di carte di credito e programmi di prestito federali.
A seguito dell’operazione, sono state sequestrate proprietà acquistate da Wang, tra cui diverse auto di lusso, più di una dozzina di conti bancari nazionali e internazionali, oltre due dozzine di portafogli di criptovaluta, diversi orologi da polso di lusso, 21 proprietà residenziali o di investimento e 20 domini.
“La condotta qui denunciata sembra uscita da una sceneggiatura: un piano per vendere l’accesso a milioni di computer infettati da malware in tutto il mondo, consentendo ai criminali di tutto il mondo di rubare miliardi di dollari, trasmettere minacce di bombe e scambiare materiali di sfruttamento minorile, quindi utilizzando il progetto prevede quasi 100 milioni di dollari di profitti per l’acquisto di auto di lusso, orologi e beni immobili“, ha affermato Matthew Axelrod, vice segretario per l’applicazione delle norme sulle esportazioni, dell’Ufficio per l’Industria e la Sicurezza del Dipartimento del Commercio degli Stati Uniti.
Il malware ha aperto la strada ad attacchi con ransomware e altri software dannosi, con uno dei principali sospettati che ha incassato più di 69 milioni di euro in criptovaluta affittando siti di infrastrutture criminali per distribuire ransomware.
SystemBC facilitava la comunicazione anonima tra un sistema infetto e un server di comando e controllo, mentre Bumblebee, distribuito principalmente tramite campagne di phishing o siti Web compromessi, era progettato per consentire la consegna e l’esecuzione di ulteriori payload su sistemi compromessi.
SmokeLoader veniva utilizzato principalmente come downloader per installare ulteriore software dannoso sui sistemi infettati. IcedID, noto anche come BokBot, è stato inizialmente classificato come trojan bancario, ma da allora è stato ampliato per commettere altri crimini, oltre al furto di dati finanziari.
Pikabot, invece, è un trojan utilizzato per ottenere l’accesso iniziale ai computer infetti, consentendo la distribuzione di ransomware, il controllo remoto dei computer e il furto di dati.
Europol afferma che l’operazione Endgame non è finita e che verranno annunciate nuove azioni, con altri sospettati nel mirino.