Grootschalige ontmanteling van botnets

Ransomware Energiebedrijf

Politiediensten, Eurojust en Europol kondigden Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.

De infrastructuur van IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee en trickbot is, in samenwerking met partners uit de private sector waaronder Proofpoint, ontmanteld. Volgens Europol leidde de samenwerking tot vier arrestaties en het offline halen van meer dan honderd servers die in tien landen. Ook werden meer dan 2.000 geconfisqueerde domeinen en illegale goederen bevroren.

Operation Endgame

Onderzoekers van Proofpoint delen tijdens Operation Endgame hun technische expertise over de infrastructuur van botnet met de lokale autoriteiten. De onderzoekers ondersteunen zo bij het identificeren van patronen in de manieren waarop dreigingsactoren servers inzetten en het opsporen van nieuwe malware-infrastructuur tijdens de creatie hiervan. Verder draagt de expertise in reverse engineering van malware van Proofpoint bij aan het voorzien van wetshandhaving over het ontwerp en de code van de bots. Hierdoor is het mogelijk om deze veilig te herstellen. De unieke kennis zorgde ook voor het identificeren van de grootste en meest impactvolle malwarecampagnes. Autoriteiten hadden hierdoor inzichten in de dreigingen die grote gevolgen voor de samenleving hebben.

Hieronder volgt een overzicht van de verschillende betrokken malware:

Smokeloader

Smokeloader is een modulaire malware met verschillende stealer -en toegangsmogelijkheden die op afstand beschikbaar zijn. Het doel van deze malware is het installeren van follow-on payloads.

SystemBC

SystemBC is een proxy-malware en backdoor die SOCKS5 gebruikt. Aanvankelijk werd de malware geleverd door exploits, maar later werd het populair in Ransomware-as-a-Service activiteiten.

IcedID

IcedID Malware bestaat uit een initiële loader die contact maakt met een Loader C2-server. Vervolgens downloadt het de standaard DLL Loader en levert daarna de IcedID Bot. De malware wordt vaak gebruikt als payload door access brokers zoals TA511, TA551, en TA577 en TA544. IcedID is vaak de eerste stap tot ransomware, waarbij de malware dient als een first-stage payload in ransomware campagnes

Pikabot

Pikabot malware bestaat uit twee componenten: een loader en een kernmodule. Deze zijn ontworpen voor het uitvoeren van willekeurige opdrachten en het downloaden van extra payloads. Het doel van Pikabot is om vervolgmalware te downloaden en de favoriete payload van dreigingsactor TA577 (een van de meest geraffineerde en hardnekkige dreigingen).

Bumblebee

Bumblebee is een geavanceerde downloader met als doel het uitvoeren en downloaden van extra payloads. De downloader dropt payloads, waaronder Cobalt Strike, shellcode, Sliver en Meterpreter en de Bumblebee loader levert vervolgens follow-on ransomware af.

 

(bron: Proofpoint)

 

Meer over
Lees ook
DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.

Proofpoint: rechtshandhaving verstoort LockBit

Proofpoint: rechtshandhaving verstoort LockBit

Het wereldwijde rechtshandhavingsinitiatief voor het verstoren van ransomware-operaties, onder leiding van het Verenigd Koninkrijk en de Verenigde Staten, is goed nieuws voor cyberverdedigers en organisaties die nog steeds last hebben van de gevolgen van LockBit-infecties.