Nastavljena operacija End Game: demontirana infrastruktura malvera DanaBot

Sajber hronika, 27.05.2025, 12:00 PM

Međunarodna akcija, koju su predvodili Evropol i Evrodžast, rezultirala je gašenjem više od 300 servera i 650 domena širom sveta. Takođe je zaplenjeno 3,5 miliona evra u kriptovalutama.

Cilj operacije pod nazivom „End Game“ bio je razbijanje ključne infrastrukture za sprovođenje napada ransomware-om.

Ova akcija koja je nastavak operacije End Game, bila je fokusirana na tzv. početni pristup - početnu fazu napada, kada malver ulazi u sisteme žrtava kako bi omogućio napade ransomware-om. Razbijena je infrastruktura DanaBot-a, odgovornog za infekciju više od 300.000 računara i napade ransomware-om, kao i prevare u iznosu od najmanje 45 miliona evra. Pored toga, neutralisani su i poznati malveri: Qakbot, Bumblebee, Trickbot, Hijackloader, Lactrodectus i Warmcookie koji „se obično nude kao usluga drugim sajber kriminalcima i koriste za otvaranja puta za napade ransomware-a velikih razmera“, saopštio je Evropol.

Evropol je izdao međunarodne poternice za 20 ključnih aktera umešanih u razvoj, održavanje i komercijalizaciju ovih malvera. Na listi najtraženijih u EU nalaze se i dvojica Rusa iz Novosibirska - Aleksandar Stepanov (39) i Artem Kalinkin (34) - za koje se sumnja da su bili vodeći članovi mreže DanaBot. Kalinkin se suočava sa potencijalnom kaznom do 72 godine zatvora, dok Stepanovu preti do pet godina zatvora.

Iako se programeri DanaBot-a i mnogi njihovi saradnici nalaze u Rusiji, neki korisnici se nalaze u zemljama poput Poljske i Tajlanda. FBI rekao je da istražuje DanaBot od 2019. godine.

DanaBot, koji je prvi put otkrila firma za sajber bezbednost Proofpoint 2018. godine, širio se putem fišing mejlova sakriven u prilozima ili iza linkova. Kada bi uređaj bio zaražen, kompromitovani uređaj bi postao deo botneta koji je omogućavao operaterima da daljinski kontrolišu uređaje. Administratori DanaBot-a su iznajmljivali pristup botnetu i nudili podršku korisnicima, po ceni od 3.000 do 4.000 dolara mesečno. DanaBot se takođe mogao koristiti za krađu podataka, otimanje bankarskih sesija, pristup istoriji pregledača, slanje podataka naloga i još mnogo toga. Ovaj moćni malver je takođe omogućavao administratorima i korisnicima da snimaju žrtve, prate ono što kucaju na tastaturi i još mnogo toga. DanaBot korišćen je korišćen i kao preteča napada ransomware-om.

Administratori su takođe upravljali specijalizovanom verzijom botneta koja se fokusirala na napade na računare koje koriste vojne, diplomatske i druge državne institucije. Ovo je „navodno korišćeno za napade na diplomate, pripadnike organa za sprovođenje zakona i pripadnika vojske u Severnoj Americi i Evropi“, rekli su tužioci SAD gde je optuženo 16 članova kriminalne organizacije koja je razvila DanaBot.

Operacija je sprovedena uz pomoć tehnoloških kompanija i firmi za sajber bezbednost kao što su Amazon, Google, ESET, CrowdStrike, ZScaler, ProofPoint, PayPal i druge, koje su pružale tehničku podršku i obaveštajne podatke. Centralni punkt za koordinaciju uspostavljen je u sedištu Evropola u Hagu. Tamo su istražitelji iz Kanade, Danske, Francuske, Nemačke, Holandije, Velike Britanije i SAD radili rame uz rame sa Evropskim centrom za sajber kriminal.

Iako je operacija „End Game“ veliki udarac za sajber kriminal, ransomware i dalje predstavlja ozbiljnu pretnju za pojedince, kompanije i državne institucije. Kriminalci se brzo reorganizuju, pa su preventivne mere i dalje ključne. Stručnjaci savetuju upotrebu naprednih bezbednosnih rešenja, koja nude višeslojnu zaštitu, detekciju ponašanja aplikacija, sprečavanje fišing napada i nadzor u realnom vremenu.