Operacja ENDGAME zadaje poważny cios globalnym operacjom ransomware

Operacja ENDGAME, bezprecedensowa skoordynowana międzynarodowa operacja cyberprzestępcza, zakłóciła infrastrukturę ransomware na całym świecie. W ramach akcji prowadzonej przez Europol i Eurojust udało się rozbić rozległy ekosystem przestępczy poprzez wyłączenie ponad 300 serwerów i 650 domen powiązanych z dystrybucją złośliwego oprogramowania i atakami ransomware. Władze w ramach akcji wystawiły również 20 międzynarodowych nakazów aresztowania.

Koordynacja transgraniczna

Międzynarodowe władze utworzyły centralne stanowisko dowodzenia w siedzibie Europolu w Hadze i wykorzystywały je jako węzeł operacyjny dla śledczych z wielu krajów.

„Podczas tygodnia akcji w siedzibie Europolu w Hadze utworzono stanowisko dowodzenia, a śledczy z Kanady, Danii, Francji, Niemiec, Holandii, Wielkiej Brytanii i Stanów Zjednoczonych współpracowali z Europejskim Centrum Cyberprzestępczości Europolu i jego Wspólną Grupą Zadaniową ds. Cyberprzestępczości” – poinformował Europol w komunikacie prasowym. „Stanowisko dowodzenia koordynował działania organów ścigania, zarządzał informacjami wywiadowczymi na przejętych serwerach i nadzorował wdrażanie planu działań operacyjnych”.

Skoordynowane działania wspierał Eurojust, który ułatwiał współpracę sądową od fazy planowania operacji w 2024 r.

Konfiskaty finansowe i zakłócenia spowodowane złośliwym oprogramowaniem

Podczas przeszukiwań władze skonfiskowały kryptowaluty o wartości 3,5 mln euro, co daje łącznie ponad 21 mln euro odzyskanych od syndykatów cyberprzestępczych w ciągu ostatniego roku.

Operacja ENDGAME jest kontynuacją działań mających na celu rozmontowanie botnetów podjętych w ramach operacji z 2024 roku. Tym razem skupia się ona na wyłączeniu złośliwego oprogramowania typu initial access, które umożliwiało ataki ransomware.

Wśród zneutralizowanych rodzin złośliwego oprogramowania znalazły się takie jak Qakbot, Bumblebee, DanaBot i Trickbot, to złośliwe oprogramowania często wykorzystywane w modelach ransomware-as-a-service (RaaS).

Międzynarodowe alerty dotyczące podejrzanych

Kluczowe postacie powiązane z udaremnionymi atakami złośliwego oprogramowania są obecnie ścigane na arenie międzynarodowej. Od 23 maja na unijną listę osób najbardziej poszukiwanych trafiło 18 osób podejrzanych o dostarczanie lub zarządzanie infrastrukturą wykorzystywaną w poważnych incydentach związanych z oprogramowaniem ransomware.

„Ta nowa faza pokazuje zdolność organów ścigania do adaptacji i ponownego uderzenia, nawet gdy cyberprzestępcy przebudowują się i reorganizują” — powiedziała dyrektor wykonawcza Europolu Catherine De Bolle. „Przerywając usługi, na których polegają przestępcy, aby wdrażać ransomware, przerywamy łańcuch ataku u źródła”.

Oprogramowanie ransomware nadal nęka cyberprzestrzeń

„Niestety, ataki typu ransomware wciąż stanowią poważne zagrożenie w cyberprzestrzeni, narażając na ogromne ryzyko osoby prywatne i organizacje. Specjalistyczne oprogramowanie antywirusowe może chronić Cię przed oprogramowaniem ransomware i innymi cyfrowymi atakami, takimi jak wirusy, konie trojańskie, robaki, ataki typu zero-day, oprogramowanie szpiegujące i rootkity” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.