L’operazione condotta dal Dipartimento di Giustizia degli Stati Uniti ha portato allo smantellamento della rete malware DanaBot, una delle più sofisticate e dannose degli ultimi anni, con l’imputazione di 16 persone per la loro presunta partecipazione allo sviluppo e alla diffusione del malware. DanaBot, noto anche come DanaTools, era gestito da un’organizzazione criminale con base in Russia e ha infettato oltre 300.000 computer a livello globale, facilitando attività di frode finanziaria, ransomware e provocando danni superiori a 50 milioni di dollari.
Struttura modulare e modello MaaS
DanaBot si distingue per la sua struttura modulare e per il modello di business malware-as-a-service (MaaS), in cui l’accesso veniva affittato a cybercriminali tramite abbonamenti mensili che potevano superare anche i mille dollari. Il malware nasce nel 2018 come trojan bancario, ma si evolve rapidamente, diventando uno strumento multiuso in grado di rubare dati, dirottare sessioni bancarie, sottrarre credenziali e criptovalute, offrire accesso remoto completo e registrare attività degli utenti.
Infrastruttura di comunicazione e diffusione globale
Una delle caratteristiche più rilevanti di DanaBot è la sua infrastruttura di comunicazione a livelli, che maschera il traffico tra i dispositivi infetti e i server di comando e controllo, rendendo difficile il tracciamento da parte delle autorità. La botnet era attiva soprattutto in Stati Uniti, Brasile e Messico, ma aveva preso di mira anche istituzioni militari, governative e diplomatiche in Nord America ed Europa.
Indagini e capi d’accusa
Le indagini hanno rivelato che alcuni membri del gruppo criminale si sono accidentalmente infettati con il malware, lasciando tracce che hanno permesso agli investigatori di identificarli. Tra i capi d’accusa figurano accesso non autorizzato a sistemi protetti, frode informatica e furto aggravato d’identità. Contestualmente, le forze dell’ordine hanno sequestrato numerosi server negli Stati Uniti, compromettendo la struttura della botnet.
Uso per spionaggio e collaborazione tra gruppi
DanaBot è stato utilizzato anche per scopi di spionaggio, come gli attacchi DDoS contro istituzioni ucraine e la raccolta di informazioni su funzionari pubblici. I suoi sviluppatori collaboravano con altri gruppi criminali, offrendo il malware in bundle con altri loader e cryptor.
Impatto sull’ecosistema cybercriminale
L’azione delle autorità ha avuto un forte impatto sull’ecosistema cybercriminale, costringendo i malintenzionati a cambiare tattiche e riducendo la fiducia nei network criminali. Questa operazione dimostra l’importanza della collaborazione tra settore pubblico e privato nella lotta contro le minacce informatiche globali.