Globaalin kyberrikollisuuden torjunta
Globaalissa kyberrikollisuuden torjunnassa, joka keskittyy ”kyberrikollisuus palveluna” -haittaohjelmiin, on jäädytetty kymmeniä miljoonia dollareita varastettuja varoja. Lainvalvontaviranomaiset ovat tunnistaneet, merkinneet ja jäädyttäneet yli 41 miljoonaa euroa (noin 47 miljoonaa dollaria) rikollisia kryptovarantoja Operation Endgame -toiminnan viimeisessä vaiheessa, Europol kertoi keskiviikkona.
Yhteinen isku haittaohjelmia vastaan
Kaksi viikkoa kestänyt, monen maan yhteinen isku purki kolmen haittaohjelmaperheen infrastruktuurin: SocGholish, Amadey ja StealC. Kaikki kolme kohdistuvat kryptokäyttäjiin. StealC, infostealer, jota on myyty palveluna vuodesta 2023, kerää salasanoja, selainevästeitä ja kryptolompakkotietoja tartunnan saaneilta koneilta. Sen hallintapaneeli sisälsi jopa liitännäisen, joka yritti purkaa uhreilta varastettujen MetaMask-lompakoiden siemenlauseita, tutkijat Proofpointilta havaitsivat.
Haittaohjelmien toimintatavat
Amadey saa alun perin jalansijaa ja pudottaa lisää haittaohjelmia, kun taas SocGholish, joka on yhteydessä venäläiseen Evil Corp -ryhmään, tartuttaa ihmisiä vale selainpäivityskehotteiden kautta hakkeroiduilla verkkosivustoilla. Yhdessä nämä haittaohjelmat muodostavat hyökkäysten eturintaman, joka päättyy tyhjennettyihin lompakoihin, tilin haltuunottoihin ja kiristysohjelmiin.
Poliisi sulki 326 palvelinta ja 142 verkkotunnusta, palautti lähes 27 miljoonaa varastettua käyttäjätunnusta yli 385 000 vaarantuneelta järjestelmältä ja puhdisti lähes 15 000 tartunnan saanutta verkkosivustoa, joista monet olivat pieniä yrityksiä.
Infostealerit ja niiden vaikutus
Microsoft, operaatiossa mukana oleva kumppani, yhdisti Amadeyn ja StealCin yli 140 000 tartunnan saaneeseen tietokoneeseen maailmanlaajuisesti vain toukokuun ensimmäisten kahden viikon aikana. Infostealerit ovat tulleet pääasialliseksi reitiksi varastetulle kryptovaluutalle, hiljaa nostamalla lompakkotiedostoja, yksityisiä avaimia ja siemenlauseita uhreiltaan.
Operation Endgame ja sen seuraukset
Aikaisempi Operation Endgame -toiminta viime vuoden lopulla paljasti kirjautumistietoja yli 100 000 kryptolompakosta, jotka oli varastettu uhreilta, mutta joita ei ollut vielä tyhjennetty. Microsoftin digitaalinen rikosyksikkö nosti erikseen Yhdysvalloissa rikollista toimintaa koskevan kanteen, joka ensimmäistä kertaa käsitteli kahta haittaohjelmaperhettä yhtenä rikollisena salaliittona.
Käyttäen AI-työkaluja, mukaan lukien Copilot, haittaohjelmien analysoimiseen, tutkijat havaitsivat, että Amadey ja StealC, vaikka ne oli rakennettu eri rikollisten toimesta, toimivat jaetulla infrastruktuurilla.
Jatkuva uhka ja käyttäjien suojaaminen
Tällaiset iskut harvoin tappavat haittaohjelmia kokonaan, ja operaattorit yleensä kokoontuvat uudelleen, StealC toimittaen tuoretta versiota jopa tämän kuun aikana. Tällä hetkellä Europol ja sen kumppanit ohjaavat uhri-ilmoituksia palveluiden, kuten Have I Been Pwned, kautta, jotta käyttäjät voivat tarkistaa, ovatko heidän käyttäjätunnuksensa ja lompakkojensa avaimet jo rikollisten käsissä.
