В ходе масштабной операции правоохранительных органов под кодовым названием Operation Endgame было конфисковано более 100 серверов, которые использовались крупными загрузчиками малвари, включая IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.
Операция, длившаяся с 27 по 29 мая 2024 года, состояла из 16 обысков по всей Европе, а также привела к аресту четырех человек (одного в Армении и трех на Украине). Помимо этого, полиция заявляет, что обнаружила восемь скрывающихся от правосудия лиц, связанных с активностью упомянутого вредоносного ПО, которые теперь будут добавлены в список наиболее разыскиваемых преступников Европола.
Захваченная правоохранителями инфраструктура располагалась в странах Европы и Северной Америке, и включала в себя более 2000 доменов.
В операции Endgame приняли участие представители полиции Германии, США, Великобритании, Франции, Дании и Нидерландов. Кроме того, оперативную информацию властям предоставляли эксперты из компаний Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD, которые поделились с правоохранителями информацией об инфраструктуре ботнетов и внутренней работе малвари.
Напомним, что дропперы используются для получения первоначального доступа к устройствам жертв и доставки дополнительных полезных нагрузок. Их операторы обычно используют вредоносные письма или прячут свою малварь в различных установщиках, которые продвигают с помощью вредоносной рекламы или распространяют в торрентах.
Многие из упомянутых выше дропперов начинали как банковские трояны, но затем эволюционировали и стали ориентироваться на предоставление первоначального доступа, при этом упрощая свою работу и удаляя «лишние» вредоносные функции для снижения вероятности обнаружения.
После заражения дропперы внедряют в скомпрометированную систему более опасные полезные пейлоады, включая инфостилеры и вымогательское ПО.
По данным Европола, один из главных подозреваемых, причастный к управлению одним из вредоносов, заработал более 74,5 млн долларов в криптовалюте, предоставляя свою инфраструктуру для развертывания программ-вымогателей. Правоохранители отмечают, что «транзакции подозреваемого отслеживаются, и уже получено юридическое разрешение на арест этих активов».
