Двойной удар, нанесенный в ходе глобальной операции, нарушил «конвейер» киберпреступности.

Операция «Эндгейм» одновременно нейтрализует два широко используемых инструмента преступности.

Фото: Алекс Шмидт / Getty Images

Международные органы власти и ряд частных технологических компаний заявляют, что им удалось нарушить «конвейер» киберпреступлений, который позволял мошенникам собирать миллионы учетных данных для входа в систему и красть более 47 миллионов долларов в виде выкупа и другими мошенническими способами.

Суть операции заключалась в одновременном воздействии на два несвязанных инструмента, широко используемых в различных онлайн-мошенничествах. Первый — это Amadey, платформа «вредоносное ПО как услуга» для компрометации устройств и доставки вредоносных программ-вымогателей и других мошеннических схем. Amadey наблюдается в сети как минимум с 2018 года, а в прошлом году было замечено, как он использовал GitHub для сбора системной информации с зараженных устройств и установки специально разработанных вредоносных программ. Второй инструмент — это StealC, платформа «похититель информации как услуга», которая собирает учетные данные, файлы cookie аутентификации, криптовалютные кошельки, расширения для браузеров и файлы, имена которых соответствуют заданным пользователем шаблонам.

Разрыв критически важного звена в цепочке киберпреступлений.

Amadey и StealC — это отдельные инструменты, работающие независимо друг от друга. Однако, учитывая их широкое распространение, многие клиенты используют оба инструмента в своей киберпреступной деятельности. Кроме того, как выяснилось, для работы этих инструментов использовалась одна и та же базовая инфраструктура. Microsoft заявила, что пришла к этому выводу после анализа инструментов с помощью искусственного интеллекта. Это позволило юристам Microsoft добиваться судебного запрета на одновременное отключение обоих инструментов.

«Эта акция направлена против „конвейера“ киберпреступлений, где скоординированные инструменты приводят к распространению программ-вымогателей, финансовому мошенничеству и сбоям в работе государственных служб», — заявила Microsoft в среду. «Amadey и StealC часто используются вместе: Amadey помогает злоумышленникам получить доступ к устройствам, а StealC крадет пароли и конфиденциальную информацию. Вместе они образуют важнейшее звено в этой цепочке».

Имея доказательства того, что используемые инструменты имели пересекающуюся инфраструктуру, юристы компании применили законы RICO, направленные против организованной преступности; в результате судебное разбирательство позволило рассматривать оба инструмента как часть единого заговора. В результате, как заявила Microsoft, было нарушено функционирование более 200 серверов управления и контроля и прекращен преступный контроль над более чем 18 000 зараженных компьютеров. Европол, который помогал координировать правоохранительную часть операции, заявил, что вернул до 27 миллионов украденных учетных данных и обнаружил «криптовалютные активы преступного происхождения» на сумму 47 миллионов долларов.

«В ходе этой операции правоохранительные органы и партнеры из частного сектора атаковали 326 серверов и 142 домена, что серьезно подорвало сеть распространения вредоносного ПО», — заявили в Европоле. «Одновременное отключение этих инструментов в результате сотрудничества правоохранительных органов и частных лиц создало дополнительные препятствия для киберпреступников, затруднив им совершение, распространение и восстановление после атак».

В операции «Endgame» также принимают участие компании ESET, Proofpoint и IBM X-Force, Bitsight и Mitsui Bussan Secure Directions.

Европол сообщил, что еще одним инструментом, выявленным в ходе операции «Эндгейм», является SocGholish, вредоносная программа, связанная с российской киберпреступной группировкой Evil Corp., которая распространяется через взломанные веб-сайты. Посетителей этих сайтов обманом заставляют устанавливать троянизированные приложения, маскирующиеся под расширения для браузеров или другое легитимное программное обеспечение. Европол заявил, что в ответ на это очистил зараженные сайты WordPress и призвал администраторов сайтов изменить учетные данные и усилить безопасность. Он также уведомил стороны, чьи данные и учетные данные были раскрыты в результате деятельности SocGholish. В операции по борьбе с вредоносным ПО участвовали Канада, Дания, Германия, Нидерланды, Великобритания и США.

Источник: arstechnica.com