在代号为“终局行动”的国际联合执法行动中,各机构和司法当局摧毁了主要的僵尸网络基础设施,目标是臭名昭著的恶意软件投放器,例如 IcedID、SystemBC、Pikabot、Smokeloader、Bumblebee 和 TrickBot。
欧洲刑警组织在周四的公告中表示,5 月 27 日至 29 日期间,“终局行动”逮捕了 4 人,并摧毁了全球 100 多台服务器。
欧洲刑警组织表示:“这是迄今为止针对僵尸网络的最大规模行动,僵尸网络在勒索软件的部署中发挥着重要作用。”
僵尸网络用于不同类型的网络犯罪,包括勒索软件、身份盗窃、信用卡诈骗和其他几种金融犯罪。“被拆除的僵尸网络由数百万台受感染的计算机系统组成,” Operation Endgame 团队的一份联合新闻声明称。
此次行动由法国、德国和荷兰牵头,在欧洲司法组织的支持下,丹麦、英国、美国、亚美尼亚、保加利亚、立陶宛、葡萄牙、罗马尼亚、瑞士和乌克兰等国家参与。
终局行动的结果是:
- 逮捕 4 人——1 人在亚美尼亚,3 人在乌克兰。
- 16 个地点搜索——1 个在亚美尼亚,1 个在荷兰,3 个在葡萄牙,11 个在乌克兰。
- 保加利亚、加拿大、德国、立陶宛、荷兰、罗马尼亚、瑞士、英国、美国和乌克兰等国家有超过 100 台服务器被拆除或中断。
- 超过 2,000 个域名被查封并纳入执法控制。
- 还向其他 8 名嫌疑人发出了传票。
瞄准网络犯罪基础设施
“终局行动”的重点是高价值目标、其各种恶意软件背后的犯罪基础设施以及非法收益的冻结。
欧洲刑警组织表示:“该恶意软件的基础设施在行动日期间被摧毁,从而为勒索软件和其他恶意软件的攻击提供了便利。”
欧洲刑警组织称,一名主要嫌疑人通过出租网站部署勒索软件赚取了至少 6900 万欧元的加密货币。当局正在密切监视这些交易,并已获得扣押这些资产的许可。当局认为,基础设施和金融扣押对勒索软件投放者生态系统产生了全球影响。
在“终局行动”中拆除密钥植入恶意软件
– SystemBC:促进受感染系统与命令与控制服务器之间的匿名通信。
–大黄蜂:通过网络钓鱼活动或受感染的网站进行传播,从而进一步执行有效载荷。
– Smokeloader:主要用于下载和安装其他恶意软件。
– IcedID(BokBot):从银行木马演变为各种网络犯罪的多用途工具。
– Pikabot:通过初始系统访问实现勒索软件部署、远程接管和数据盗窃。
欧洲刑警组织表示:“它们现在都被用来部署勒索软件,并被视为感染链中的主要威胁。”
“终局行动”扣押通知(来源:欧洲刑警组织)
Dropper 恶意软件在网络攻击中的作用
植入程序是网络攻击中必不可少的工具,是绕过安全措施并安装勒索软件和间谍软件等有害软件的初始载体。它们通过在受感染的系统上部署其他恶意软件来促进进一步的恶意活动。
Dropper 的运作方式
渗透:通过电子邮件附件、受感染的网站或与合法软件捆绑在一起进入系统。
执行:在受害者不知情的情况下在受害者的计算机上安装其他恶意软件。
逃避:通过代码混淆、内存运行等方法逃避安全软件的检测。
有效载荷传递:部署额外的恶意软件,可能变为非活动状态或自行删除以逃避检测。
此次行动的成功得益于 Bitdefender、Sekoia、Shadowserver、Proofpoint 和 Fox-IT 等私人合作伙伴的支持。当局表示,他们的支持对于破坏犯罪网络和基础设施至关重要。
等待《终局行动》第二季
终局行动标志着一次重大胜利,但这并不是真正的结束。执法部门将借鉴漫威电影《复仇者联盟:终局之战》,在几个小时后发布该行动的第二部分,并表示他们的努力仍在继续。
“这是‘终局行动’第一季。敬请期待。这肯定会很精彩。不过可能不是每个人都会喜欢。有些结果可以在这里找到,其他结果会以不同的、意想不到的方式出现,”当局表示。
“请随时联系我们,你可能需要我们。当然,坦诚的对话对我们双方都有好处。你不是第一个,也不会是最后一个。好好想想下一步该怎么做。”
未来的行动将在“终局行动”网站上公布,可能针对嫌疑人和用户,并确保追究责任。
此次大规模僵尸网络拆除行动的消息是在宣布拆除“可能是有史以最大的僵尸网络”——911 S5 僵尸网络的第二天发布的。该僵尸网络的所谓管理员王云鹤上周被捕,随后联邦调查局宣布扣押了该网络的基础设施和资产。
最近的执法行动是打击网络犯罪的历史性里程碑,对支持勒索软件和其他恶意活动的植入式恶意软件生态系统造成了重大打击。此次行动的成功凸显了国际合作的重要性以及采取强有力的网络安全措施应对不断演变的威胁的必要性。
发表评论
您还未登录,请先登录。
登录