Міжнародна операція "Фінал", яку координують зі штаб-квартири Європолу, з 27 до 29 травня 2024 року атакувала системи шкідливих програм-дроперів IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee і Trickbot.

Як повідомляють на сайті Європолу, у результаті операції чотирьох осіб заарештували (одну у Вірменії, трьох в Україні), відключили або вивели з ладу більше ніж 100 серверів (в Україні, Болгарії, Канаді, Німеччині, Литві, Нідерландах, Румунії, Швейцарії, Великій Британії та США), знайшли 16 локацій (по одній у Вірменії та Нідерландах, три в Португалії і 11 в Україні), більше ніж 2 000 доменів передали під контроль правоохоронних органів.

"Шкідливе ПЗ, інфраструктуру якого було зруйновано в дні акції, сприяло атакам із використанням програм-вимагачів та іншого шкідливого програмного забезпечення. За підсумками днів дій вісьмох втікачів, пов'язаних із цією злочинною діяльністю, яких розшукує Німеччина, буде додано до Європейського списку найбільш розшукуваних осіб 30 травня 2024 року. Осіб розшукують за причетність до серйозної кіберзлочинної діяльності", - ідеться в повідомленні.

Під час розслідувань з'ясувалося, що один із головних підозрюваних заробив щонайменше EUR69 млн у криптовалюті, здаючи в оренду об'єкти кримінальної інфраструктури для встановлення програм-вимагачів. Операції підозрюваного постійно відстежують, і вже отримано юридичний дозвіл на конфіскацію цих активів під час майбутніх дій.

У Європолі зазначають, що це була найбільша за всю історію операція проти ботнетів, які відіграють важливу роль у поширенні програм-вимагачів. Операція, ініційована й очолена Францією, Німеччиною та Нідерландами, була підтримана Євроюстом і в ній брали участь Данія, Велика Британія та США. Крім того, Україна, Вірменія, Болгарія, Литва, Португалія, Румунія та Швейцарія також підтримали операцію різними діями, такими як арешти, допити підозрюваних, обшуки, а також вилучення або видалення серверів і доменів. Операцію також підтримали низка приватних партнерів на національному та міжнародному рівні, включно з Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus і DIVD.

"Дії були спрямовані на підрив кримінальної діяльності шляхом арешту особливо важливих об'єктів, знищення кримінальної інфраструктури та заморожування незаконних доходів. Цей підхід справив глобальний вплив на екосистему дроперів", - наголошується в повідомленні.

Дропери шкідливих програм - це тип шкідливого програмного забезпечення, призначений для встановлення інших шкідливих програм у цільову систему. Вони використовуються на першому етапі атаки шкідливого ПЗ, під час якого дають змогу злочинцям обійти заходи безпеки та розгорнути додаткові шкідливі програми, такі як віруси, програми-викрадачі або шпигунські програми. Самі собою дропери зазвичай не завдають прямого збитку, але мають вирішальне значення для доступу і впровадження шкідливого програмного забезпечення в постраждалі системи.

"Операція "Фінал" не закінчується сьогодні. Про нові акції буде оголошено на сайті Operation Endgame. Крім того, підозрювані, причетні до цих та інших ботнетів, які ще не заарештовані, будуть безпосередньо притягнуті до відповідальності за свої дії. Підозрювані та свідки знайдуть на цьому сайті інформацію про те, як зв'язатися з ними", - розповіли в Європолі.