З 19 до 22 травня правоохоронці семи країн за координації Європолу та Євроюстом провели масштабну кібероперацію Endgame 2.0, спрямовану на знищення базової інфраструктури шкідливих програм — завантажувачів, які запускають ланцюг атак. Це один із наймасштабніших ударів по індустрії кіберзлочинності.
З 19 до 22 травня правоохоронці семи країн за координації Європолу та Євроюстом провели масштабну кібероперацію Endgame 2.0, спрямовану на знищення базової інфраструктури шкідливих програм — завантажувачів, які запускають ланцюг атак. Це один із наймасштабніших ударів по індустрії кіберзлочинності.
Під час операції ліквідовано понад 300 серверів і нейтралізовано 650 доменів, а також видано 20 міжнародних ордерів на арешт підозрюваних у кібератаках. Про це повідомили в офіційній заяві Європолу.
Удар був націлений не по самих програмах-вимагачах, а по першому етапу атаки — початкових завантажувачах (Initial Access Malware), що відкривають двері до систем жертви. Серед них — відомі інструменти на кшталт Bumblebee, Qakbot, Trickbot, WarmCookie, DanaBot, Lactrodectus та HijackLoader.
Ці ботнети не шифрують файли напряму — натомість вони використовуються злочинними угрупованнями для отримання доступу до корпоративних мереж, подальшого встановлення шкідливого ПЗ і передачі доступу афілійованим учасникам, які вже розгортають ransomware. Тож удар по цій інфраструктурі вважається руйнуванням «kill chain» на ранній фазі.
«Ми б’ємо по сервісах, які дозволяють запускати ransomware. Це стратегічна перевага, яку ми будемо розвивати», — заявила директорка Європолу Катрін де Боллє.
Під час обшуків також було вилучено криптовалюту на суму понад 3,5 млн евро, а загальний обсяг фінансових втрат кіберзлочинців у рамках двох фаз Endgame перевищив 21 млн евро. Це — безпрецедентна сума для антикримінальних кібероперацій.
Загалом дії координувалися з командного центру в Гаазі, де оперативники з Північної Америки та Європи діяли синхронно.
Операція Endgame 2.0 показала, що міжнародна правоохоронна спільнота здатна не лише реагувати на наслідки атак, а й діяти на випередження, руйнуючи логістику кіберзлочинців ще до запуску програм-вимагачів. Це суттєво ускладнює діяльність ransomware-груп і підриває економіку «злочину як послуги» на рівні інфраструктури.
Раніше ми також писали про першу операцію Endgame, в рамках якої було затримано чотирьох кіберзлочинців з України та Вірменії, відключено понад 100 серверів по всьому світу та взято під контроль правоохоронних органів понад 2000 доменів.
