После проведения операции Endgame правоохранительные органы вычислили клиентов ботнета Smokeloader и теперь сообщили об арестах как минимум пяти человек.
Напомним, что операция «Эндшпиль» была проведена в прошлом году, и в ней приняли участие представители полиции Германии, США, Великобритании, Франции, Дании и Нидерландов. Кроме того, оперативную информацию властям предоставляли эксперты из компаний Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus и DIVD, которые поделились с правоохранителями информацией об инфраструктуре ботнетов и внутренней работе малвари.
Тогда сообщалось о конфискации более 100 серверов, которые использовались крупными загрузчиками малвари, включая IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC. Такие дропперы используются для получения первоначального доступа к устройствам жертв и доставки дополнительных полезных нагрузок.
В новом пресс-релизе, опубликованном Европолом на этой неделе, сообщается, что операция продолжается, и теперь сотрудники правоохранительных органов анализируют данные с изъятых серверов и выслеживают клиентов упомянутых вредоносов.
По данным следователей, Smokeloader управлялся человеком известным под ником Superstar, который предлагал свой ботнет другим злоумышленникам в качестве работающего по схеме pay-per-install сервиса, позволяющего получать доступ к компьютерам жертв.
«В результате ряда скоординированных действий клиенты ботнета Smokeloader, управляемого злоумышленником под ником Superstar, столкнулись с такими последствиями, как задержания, обыски домов, ордера на арест и профилактические беседы», — сообщает Европол.
Также сообщается, что Smokeloader использовался для самых разных киберпреступлений: от развертывания программ-вымогателей и запуска майнеров до доступа к веб-камерам и перехвата нажатия клавиш на машинах жертв.
В базе данных, изъятой в ходе операции Endgame, были найдены данные о клиентах Smokeloader, что позволило полиции вычислить хакеров, связав их ники с реальными личностями. При этом отмечается, что некоторые из подозреваемых согласились сотрудничать с правоохранителями и позволили изучить цифровые улики на своих личных устройствах. Несколько их них перепродавали услуги Smokeloader с наценкой.
Поскольку операция продолжается, Европол создал специальный сайт для публикации последних связанных с ней новостей. Также Европол опубликовал на сайте серию анимационных роликов, демонстрирующих деятельность правоохранителей и то, как они выслеживают клиентов и партнеров Smokeloader.
