Grootschalige ontmanteling van botnets

Ransomware Energiebedrijf

Politiediensten, Eurojust en Europol kondigden Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.

De infrastructuur van IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee en trickbot is, in samenwerking met partners uit de private sector waaronder Proofpoint, ontmanteld. Volgens Europol leidde de samenwerking tot vier arrestaties en het offline halen van meer dan honderd servers die in tien landen. Ook werden meer dan 2.000 geconfisqueerde domeinen en illegale goederen bevroren.

Operation Endgame

Onderzoekers van Proofpoint delen tijdens Operation Endgame hun technische expertise over de infrastructuur van botnet met de lokale autoriteiten. De onderzoekers ondersteunen zo bij het identificeren van patronen in de manieren waarop dreigingsactoren servers inzetten en het opsporen van nieuwe malware-infrastructuur tijdens de creatie hiervan. Verder draagt de expertise in reverse engineering van malware van Proofpoint bij aan het voorzien van wetshandhaving over het ontwerp en de code van de bots. Hierdoor is het mogelijk om deze veilig te herstellen. De unieke kennis zorgde ook voor het identificeren van de grootste en meest impactvolle malwarecampagnes. Autoriteiten hadden hierdoor inzichten in de dreigingen die grote gevolgen voor de samenleving hebben.

Hieronder volgt een overzicht van de verschillende betrokken malware:

Smokeloader

Smokeloader is een modulaire malware met verschillende stealer -en toegangsmogelijkheden die op afstand beschikbaar zijn. Het doel van deze malware is het installeren van follow-on payloads.

SystemBC

SystemBC is een proxy-malware en backdoor die SOCKS5 gebruikt. Aanvankelijk werd de malware geleverd door exploits, maar later werd het populair in Ransomware-as-a-Service activiteiten.

IcedID

IcedID Malware bestaat uit een initiële loader die contact maakt met een Loader C2-server. Vervolgens downloadt het de standaard DLL Loader en levert daarna de IcedID Bot. De malware wordt vaak gebruikt als payload door access brokers zoals TA511, TA551, en TA577 en TA544. IcedID is vaak de eerste stap tot ransomware, waarbij de malware dient als een first-stage payload in ransomware campagnes

Pikabot

Pikabot malware bestaat uit twee componenten: een loader en een kernmodule. Deze zijn ontworpen voor het uitvoeren van willekeurige opdrachten en het downloaden van extra payloads. Het doel van Pikabot is om vervolgmalware te downloaden en de favoriete payload van dreigingsactor TA577 (een van de meest geraffineerde en hardnekkige dreigingen).

Bumblebee

Bumblebee is een geavanceerde downloader met als doel het uitvoeren en downloaden van extra payloads. De downloader dropt payloads, waaronder Cobalt Strike, shellcode, Sliver en Meterpreter en de Bumblebee loader levert vervolgens follow-on ransomware af.

 

(bron: Proofpoint)

 

Meer over
Lees ook
ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET sluit zich aan bij Melissa - samenwerkingsverband voor ransomwarebestrijding

ESET Nederland, kondigt tijdens de  ONE Conference 2024 aan dat het zich heeft aangesloten bij het ransomwarebestrijding samenwerkingsverband van het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse andere private partijen. Het ransomwarebestrijding samenwerkingsverband, genaamd ‘M1

ESET research onderzoekt de Gamaredon APT-groep

ESET research onderzoekt de Gamaredon APT-groep

ESET,-onderzoekers onderzochten de operaties van Gamaredon, een APT-groep die door Rusland wordt gesteund en al minstens sinds 2013 actief is en momenteel de meest actieve APT-groep in Oekraïne is. Gamaredon wordt door de Oekraïense veiligheidsdienst (SSU) toegeschreven aan het 18e Russische centrum voor informatiebeveiliging van de FSB, dat opere1

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

ESET Research: Hamster Kombat-game misbruikt door cybercriminelen

De afgelopen maanden heeft het Telegram-klikspel Hamster Kombat de wereld van liefhebbers van cryptocurrency-spellen op zijn kop gezet. Zoals te verwachten was, heeft het succes van Hamster Kombat ook cybercriminelen gelokt, die al zijn begonnen met het inzetten van malware gericht op de spelers van het spel.