Un’operazione internazionale congiunta di polizia ha portato al sequestro di oltre 100 server caricatori di malware, utilizzati da diverse operazioni di malware, tra cui IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader, e SystemBC.
L’operazione, denominata ‘Endgame’, si è svolta tra il 27 e il 29 maggio 2024 ed ha coinvolto 16 perquisizioni in Europa, portando all’arresto di quattro individui, uno in Armenia e tre in Ucraina.
Le forze dell’ordine hanno inoltre identificato otto fuggitivi collegati alle operazioni di malware, che saranno aggiunti alla lista dei ‘più ricercati’ di Europol.
L’infrastruttura sequestrata si estendeva su Europa e Nord America, ospitando oltre 2.000 domini che offrivano servizi illeciti, ora sotto il controllo delle autorità.
L’operazione Endgame ha visto la partecipazione di forze di polizia provenienti da Germania, Stati Uniti, Regno Unito, Francia, Danimarca e Paesi Bassi.
Il supporto tecnico è stato fornito da esperti di Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus, e DIVD.
Comprendere il malware
I caricatori di malware, o malware droppers, sono strumenti specializzati che stabiliscono l’accesso iniziale a dispositivi e sistemi. I cybercriminali li diffondono solitamente tramite email malevole o nascondendo payload su installatori trojanizzati, promossi attraverso malvertising o torrent.
Questi caricatori di malware spesso iniziano come trojan bancari, evolvendosi poi per concentrarsi sull’accesso iniziale, semplificando il funzionamento e rimuovendo le funzionalità dannose per ridurre la probabilità di rilevamento.
I caricatori di malware utilizzano tattiche evasive, come l’obfuscazione del codice pesante e l’imitazione di processi legittimi, spesso risiedendo in memoria.
Una volta stabilito l’accesso, vengono introdotti payload più pericolosi, come stealers di informazioni e ransomware.
Europol ha dichiarato che uno dei principali sospetti coinvolti in una delle operazioni di malware mirate ha guadagnato oltre 69 milioni di euro ($74.5M) affittando la propria infrastruttura per la distribuzione di ransomware.
“Attraverso le indagini, è stato scoperto che uno dei principali sospetti ha guadagnato almeno 69 milioni di euro in criptovalute, affittando siti di infrastruttura criminale per distribuire ransomware”.
Le transazioni del sospetto sono costantemente monitorate e le autorità hanno ottenuto il permesso legale per sequestrare questi asset in futuro.
Suggerimenti, soluzioni e best practice per proteggersi dal malware
- Aggiornamenti software: assicurarsi che i software siano sempre aggiornati, in particolare i sistemi operativi, i browser e le applicazioni.
- Antivirus: installare e mantenere un software antivirus affidabile, che sia in grado di rilevare e bloccare i caricatori di malware.
- Firewall: configurare un firewall per bloccare il traffico sospetto e proteggere la rete.
- Email sicure: prestare attenzione alle email sospette, in particolare a quelle con allegati o link non richiesti.
- Download sicuri: scaricare software, file e aggiornamenti solo da fonti affidabili.
- Backup: eseguire regolarmente il backup dei dati importanti, per evitare la perdita di informazioni in caso di infezione da malware.
- Awareness: informare e sensibilizzare gli utenti sulle minacce informatiche e sulle best practice di sicurezza.
L’operazione Endgame è un esempio di come le forze dell’ordine internazionali collaborino per contrastare le operazioni di malware. Tuttavia, la responsabilità della sicurezza informatica ricade anche sugli utenti finali. Adottare le best practice di sicurezza e mantenersi informati sulle minacce informatiche è fondamentale per proteggersi dalle infezioni da malware.
