Международная операция "Финал", координируемая из штаб-квартиры Европола, с 27 по 29 мая 2024 года атаковала системы вредоносных программ-дропперов IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee и Trickbot.

Как сообщается на сайте Европола, в результате операции четыре человека были арестованы (один в Армении, три в Украине), отключены или выведены из строя более 100 серверов в Украине, Болгарии, Канаде, Германии, Литве, Нидерландах, Румынии, Швейцарии, Великобритании и США), найдены 16 локаций (по одной в Армении и Нидерландах, три в Португалии и 11 в Украине), более 2 000 доменов переданы под контроль правоохранительных органов.

"Вредоносное ПО, инфраструктура которого была разрушена в дни акции, способствовало атакам с использованием программ-вымогателей и другого вредоносного программного обеспечения. По итогам дней действий восемь беглецов, связанных с этой преступной деятельностью, разыскиваемых Германией, будут добавлены в Европейский список самых разыскиваемых лиц 30 мая 2024 года. Лица разыскиваются за причастность к серьезной киберпреступной деятельности", - говорится в сообщении.

В ходе расследований выяснилось, что один из главных подозреваемых заработал не менее EUR69 млн в криптовалюте, сдавая в аренду объекты криминальной инфраструктуры для установки программ-вымогателей. Операции подозреваемого постоянно отслеживаются, и уже получено юридическое разрешение на конфискацию этих активов при будущих действиях.

В Европоле отмечают, что это была крупнейшая за всю историю операция против ботнетов, которые играют важную роль в распространении программ-вымогателей. Операция, инициированная и возглавленная Францией, Германией и Нидерландами, была поддержана Евроюстом и в ней участвовали Дания, Великобритания и США. Кроме того, Украина, Армения, Болгария, Литва, Португалия, Румыния и Швейцария также поддержали операцию различными действиями, такими как аресты, допросы подозреваемых, обыски, а также изъятие или удаление серверов и доменов. Операцию также поддержали ряд частных партнеров на национальном и международном уровне, включая Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD.

"Действия были направлены на подрыв криминальной деятельности путем ареста особо важных объектов, уничтожения криминальной инфраструктуры и замораживания незаконных доходов. Этот подход оказал глобальное влияние на экосистему дропперов", - отмечается в сообщении.

Дропперы вредоносных программ — это тип вредоносного программного обеспечения, предназначенный для установки других вредоносных программ в целевую систему. Они используются на первом этапе атаки вредоносного ПО, во время которого позволяют преступникам обойти меры безопасности и развернуть дополнительные вредоносные программы, такие как вирусы, программы-вымогатели или шпионские программы. Сами по себе дропперы обычно не наносят прямого ущерба, но имеют решающее значение для доступа и внедрения вредоносного программного обеспечения в пострадавшие системы.

"Операция "Финал" не заканчивается сегодня. О новых акциях будет объявлено на сайте Operation Endgame. Кроме того, подозреваемые, причастные к этим и другим ботнетам, которые еще не арестованы, будут напрямую привлечены к ответственности за свои действия. Подозреваемые и свидетели найдут на этом сайте информацию о том, как связаться с ними", - рассказали в Европоле.