Европол замораживает $47M в криптовалюте во время глобальной операции по борьбе с инфостилерами

Правоохранительные органы заморозили более 41 миллиона евро (примерно 47 миллионов долларов) в криптовалюте, полученной преступным путём, в рамках операции Endgame, объявил Европол в среду. Двухнедельная многострановая операция уничтожила инфраструктуру трёх семейств вредоносных программ — SocGholish, Amadey и StealC, — которые крадут пароли и данные криптокошельков для совершения мошенничества и атак с использованием программ-вымогателей. Удар был нанесён по платформам «киберпреступность как услуга», которые незаметно опустошают криптокошельки, извлекая учётные данные и закрытые ключи с заражённых систем.

Семейства вредоносных программ нацелены на учётные данные криптокошельков

Все три семейства вредоносных программ специально нацелены на пользователей криптовалют через различные векторы атак. StealC, инфостилер, продаваемый как услуга с 2023 года, извлекает пароли, файлы cookie браузера и данные криптокошельков с заражённых машин. Исследователи из Proofpoint обнаружили, что его панель управления включала плагин, пытающийся расшифровать сид-фразы из кошельков MetaMask жертв.

Amadey обеспечивает первоначальный доступ к системе и развёртывает дополнительное вредоносное ПО. SocGholish, связанный с российской группировкой Evil Corp, заражает пользователей через поддельные предложения обновления браузера на взломанных сайтах. Цепочка вредоносных программ завершается опустошением кошельков, захватом учётных записей и развёртыванием программ-вымогателей.

Инфостилеры стали основным путём кражи криптовалюты, извлекая файлы кошельков, закрытые ключи и сид-фразы с устройств жертв. Векторы атак включают поддельные ИИ-инструменты, обои Steam и пиратские модификации игр.

Полиция уничтожила 326 серверов и восстановила 27 миллионов учётных данных

В ходе операции было уничтожено 326 серверов и 142 домена. Полиция восстановила почти 27 миллионов украденных учётных данных с более чем 385 000 скомпрометированных систем и очистила почти 15 000 заражённых веб-сайтов, многие из которых принадлежали малому бизнесу.

Microsoft, партнёр операции, связал Amadey и StealC с более чем 140 000 заражённых компьютеров по всему миру только за первые две недели мая. Более ранняя акция Operation Endgame в конце прошлого года выявила данные для входа в более чем 100 000 криптокошельков, украденных у жертв, но ещё не опустошённых.

Microsoft подал иск по закону RICO против операторов вредоносных программ

Подразделение Microsoft по борьбе с цифровыми преступлениями подало в суд США иск о рэкете, рассматривая два семейства вредоносных программ как единый преступный сговор. Используя ИИ-инструменты, включая Copilot, для анализа вредоносного ПО, следователи обнаружили, что Amadey и StealC, хотя и были созданы разными преступниками, работали на общей инфраструктуре.

Этот судебный иск позволил Microsoft привлечь к ответственности пособников в рамках обеих операций по закону RICO и нарушить работу более 200 серверов управления и контроля. Компания выявила более 18 000 компьютеров жертв и начала разрывать контроль злоумышленников.

Уведомления жертв направляются через сервис Have I Been Pwned

Европол и его партнёры направляют уведомления жертвам через такие сервисы, как Have I Been Pwned, позволяя пользователям проверить, не находятся ли их учётные данные и ключи криптокошельков в руках преступников. Операторы StealC выпустили свежую сборку вредоносного ПО уже в этом месяце.

Часто задаваемые вопросы

Что Европол объявил в среду относительно операции Endgame? Европол объявил, что правоохранительные органы заморозили более 41 миллиона евро (47 миллионов долларов) в криптовалюте, полученной преступным путём, и уничтожили инфраструктуру трёх семейств вредоносных программ — SocGholish, Amadey и StealC — в ходе двухнедельной многострановой операции.

Сколько серверов и учётных данных полиция восстановила в ходе ликвидации операции Endgame? Полиция уничтожила 326 серверов и 142 домена, восстановила почти 27 миллионов украденных учётных данных с более чем 385 000 скомпрометированных систем и очистила почти 15 000 заражённых веб-сайтов в ходе операции.