Operazione Endgame: smantellata la botnet responsabile della diffusione di Trickbot, IcedID & co.

L'Europol, nelle giornate tra il 27 e il 29 maggio, ha condotto l’operazione Endgame, grazie alla quale è stato possibile colpire una rete di dropper formata in particolare da IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee e Trickbot. Le operazioni sono andate a concentrarsi sull’interruzione dei servizi criminali, conducendo infine non solo allo smantellamento delle infrastrutture individuate, ma anche all'arresto di alcune persone coinvolte nelle azioni criminali e nel congelamento dei fondi ottenuti illegalmente durante le attività da essi messe in atto.

 

Un'azione di largo respiro

L'operazione condotta sotto il coordinamento di Europol può essere considerata un grande successo, alla luce delle attività condotte dalle reti in questione. Tanto da essere

indicata dagli interessati come la più grande operazione mai realizzata contro botnet le quali svolgevano un ruolo fondamentale nella diffusione del ransomware, ovvero la pratica consistente nel prendere il controllo di dispositivi informatici al fine di chiedere un riscatto. L’operazione è stata avviata e guidata da Francia, Germania e Paesi Bassi, che hanno potuto avvalersi del sostegno di Eurojust, coinvolgendo anche le forze dell'ordine di Danimarca, Regno Unito e Stati Uniti, oltre che di quelle di Paesi come Armenia, Bulgaria, Lituania, Portogallo, Romania, Svizzera e Ucraina. Non è mancato il coordinamento con partner privati, a livello nazionale e globale, tra i quali occorre menzionare Bitdefender, Computest, Cryptolaemus, DIVD, Fox-IT, NFIR, HaveIBeenPwned, Northwave, Prodaft, Proofpoint, Sekoia, Shadowserver, Spamhaus e Team Cymru. Il risultato delle operazioni si è tramutato nella rimozione o interruzione di oltre cento server dislocati tra Stati Uniti, Regno Unito, Canada, Germania, Paesi Bassi, Svizzera, Romania, Ucraina e Lituania, oltre all'arresto di quattro persone (tre in Ucraina e una in Lituania). Permettendo inoltre alle forze dell'ordine di assumere il controllo di circa 2mila domini. Nelle pieghe delle indagini condotte al riguardo, è stato inoltre possibile accertare che uno dei principali sospettati delle attività criminali colpite, ha potuto collezionare non meno di 69 milioni di euro in criptovaluta. Denaro derivante dall'affitto di siti collegati a infrastrutture criminali dedite al ransomware. Le transazioni condotte dal sospettato sono oggetto di costante monitoraggio, coi beni in oggetto già sottoposti a sequestro preventivo, teso a impedire il loro utilizzo in azioni analoghe, nel futuro.

 

Cos'è un dropper?

Per dropper di malware si intende quel genere di software dannoso il quale viene espressamente progettato nell'intento di installare malware su un determinato dispositivo informatico. Viene generalmente usato nella fase preliminare dell'attacco, permettendo all'hacker l'aggiramento delle misure di sicurezza, in modo da condurre a termine il suo compito. Compito che si esplicita nell'installazione sul computer attaccato di programmi malevoli come virus o spyware, coi quali condurre infine attività di ransomware. Se non danno luogo a danni diretti ai sistemi infettati, sono comunque il vero e proprio cavallo di Troia attraverso il quale possono essere implementati software dannosi sui sistemi che rendono accessibili. In particolare:

• SystemBC agevola la comunicazione, naturalmente anonima, tra un sistema infetto e un server di comando e controllo;

• Bumblebee, è solitamente distribuito facendo leva su siti compromessi o mediante campagne di phishing, in maniera da rendere possibile la consegna e l’esecuzione di ulteriori payload sui dispositivi colpiti;

• SmokeLoader funge a sua volta da downloader, col fine di installare software dannosi sui sistemi attaccati;

• IcedID (noto anche come BokBot), dopo essere nato in qualità di trojan bancario, ovvero per la sottrazione di dati finanziari, è poi stato oggetto di ulteriore sviluppo teso a riadattarlo per ulteriori crimini informatici;

• Pikabot, un trojan utilizzato al fine di ottenere l’accesso iniziale ai computer infetti in modo da agevolare il loro controllo remoto, la distribuzione di ransomware e il furto di dati sensibili.

 

Le fasi di funzionamento dei dropper sono le seguenti:

• infiltrazione, coi dropper che utilizzano all'uopo strumento come gli allegati di posta elettronica o siti web compromessi, a volte in associazione con software regolare;

• esecuzione, con l'installazione del malware sul dispositivo attaccato, ad insaputa della vittima;

• evasione, grazie alla quale questi programmi malevoli sono in grado di sfuggire all'opera di contrasto dei software di sicurezza. Tra le operazioni in questione il camuffamento del codice oppure la sua esecuzione in memoria senza il salvataggio sul disco fisso;

• la consegna del payload, lasciandolo a svolgere le attività dannose cui è delegato.