Європол заморозив $47M у криптовалюті під час глобальної операції проти викрадачів даних

Правоохоронці заморозили понад 41 мільйон євро (приблизно 47 мільйонів доларів) у кримінальній криптовалюті в рамках операції Endgame, повідомив Європол у середу. Двотижнева багатокраїнна операція демонтувала інфраструктуру трьох родин шкідливого ПЗ—SocGholish, Amadey та StealC—які крадуть паролі та дані криптогаманців для здійснення шахрайства та атак програм-вимагачів. Удар був спрямований на платформи cybercrime-as-a-service, які тихо спустошують криптогаманці, збираючи облікові дані та закриті ключі з інфікованих систем.

Родини шкідливого ПЗ націлені на дані криптогаманців

Усі три родини шкідливого ПЗ спеціально націлені на криптокористувачів через різні вектори атак. StealC, злодій інформації, який продається як послуга з 2023 року, збирає паролі, файли cookie браузера та дані криптогаманців з інфікованих машин. Дослідники з Proofpoint виявили, що його панель управління включала плагін, який намагався розшифрувати seed-фрази з гаманців MetaMask жертв.

Amadey встановлює початковий доступ до системи та розгортає додаткове шкідливе ПЗ. SocGholish, пов'язаний з російською групою Evil Corp, заражає користувачів через фальшиві сповіщення про оновлення браузера на скомпрометованих вебсайтах. Ланцюг шкідливого ПЗ завершується спустошеними гаманцями, захопленням облікових записів та розгортанням програм-вимагачів.

Інфостілери стали основним шляхом до викрадення криптовалюти, витягуючи файли гаманців, закриті ключі та seed-фрази з пристроїв жертв. Вектори атак включають фальшиві ШІ-інструменти, шпалери Steam та модифікації піратських ігор.

Поліція демонтувала 326 серверів та відновила 27 мільйонів облікових даних

Операція знищила 326 серверів та 142 домени. Поліція відновила майже 27 мільйонів викрадених облікових даних з понад 385 000 скомпрометованих систем та очистила майже 15 000 інфікованих вебсайтів, багато з яких належали малим підприємствам.

Microsoft, партнер в операції, пов'язав Amadey та StealC з понад 140 000 інфікованих комп'ютерів у всьому світі лише за перші два тижні травня. Раніше, наприкінці минулого року, операція Endgame виявила дані для входу до понад 100 000 криптогаманців, викрадених у жертв, але ще не спустошених.

Microsoft подає позов за законом RICO проти операторів шкідливого ПЗ

Підрозділ цифрових злочинів Microsoft подав до суду США позов про рекет, розглядаючи дві родини шкідливого ПЗ як єдину кримінальну змову. Використовуючи інструменти ШІ, зокрема Copilot, для аналізу шкідливого ПЗ, слідчі виявили, що Amadey та StealC, хоча створені різними злочинцями, працювали на спільній інфраструктурі.

Цей юридичний крок дозволив Microsoft притягнути до відповідальності пособників в обох операціях згідно із законом RICO та порушити роботу понад 200 серверів управління та контролю. Компанія виявила понад 18 000 комп'ютерів жертв і почала розривати контроль атакуючих.

Сповіщення жертв направляються через сервіс Have I Been Pwned

Європол та його партнери направляють сповіщення жертв через сервіси, як-от Have I Been Pwned, що дозволяє користувачам перевірити, чи не потрапили їхні облікові дані та ключі криптогаманців до рук злочинців. Оператори StealC випустили свіжу збірку шкідливого ПЗ вже цього місяця.

FAQ

Що оголосив Європол у середу щодо операції Endgame? Європол оголосив, що правоохоронці заморозили понад 41 мільйон євро (47 мільйонів доларів) у кримінальній криптовалюті та демонтували інфраструктуру трьох родин шкідливого ПЗ—SocGholish, Amadey та StealC—під час двотижневої багатокраїнної операції.

Скільки серверів та облікових даних вилучила поліція під час операції Endgame? Поліція знищила 326 серверів та 142 домени, вилучила майже 27 мільйонів викрадених облікових даних з понад 385 000 скомпрометованих систем та очистила майже 15 000 інфікованих вебсайтів під час операції.