Europol задержал нескольких человек, которые, как считается, участвовали в операции ботнета в рамках последующей деятельности в прошлом году крупного удара, вытекающего из более крупного «операционного конца», который демонтировал крупные вредоносные капелы.
После операции по расследованию конечного желудка, основные капельницы вредоносного ПО, включая Icedid, Systembc, Pikabot, Smokeloader и Bumblebee, были закрыты в прошлом году. Согласно Europol, анализ содержимого захваченной базы данных позволил ему идентифицировать клиентов ботнера Smokeloader Pay-M-Unstall, управляемого человеком, известным как «суперзвезда». В настоящее время правоохранительное агентство совершило аресты, выполнило обыски в доме и проводило ордера на арест или «стучать и разговоры».
«Superstar использовал свой ботнет для запуска услуги с оплатой за установку, что позволило клиентам получить доступ к машинам жертв. Клиенты использовали услугу для развертывания вредоносных программ для собственной преступной деятельности»,-сказал Европо. Исследования показали, что доступ к ботнеру был приобретен для целей, включая кейлог, доступ к веб -камеру, развертывание вымогателей, криптоминг и многое другое. Правоохранительные органы отслеживали клиентов, поскольку они были зарегистрированы в базе данных, изъятой во время операции.
В вредоносных программах заразило миллионы компьютеров по всему миру, согласно ФБР. SystemBC облегчила анонимную связь между инфицированной системой и серверами командования и контроля. SmokeLoader в основном использовался в качестве загрузчика для установки дополнительного вредоносного программного обеспечения в инфицированные системы. Аналогичным образом, Icedid, также известный как Bokbot, был дополнительно разработан для проведения ряда преступлений, а также кражи финансовых данных.
В рамках прошлогодней операции – крупнейшего в истории ботнета – более 100 серверов были закрыты или нарушены, а более 2000 интернет -доменов, связанных с хакерскими мероприятиями, были изъяты. Но в то время как мероприятия в мае прошлого года были сосредоточены на игроках высокого уровня, которые использовали, например, Ransomware, этот последний набор рейдов предназначен для того, чтобы вырвать клиентов киберпреступности в качестве поставщиков услуг.
Правоохранительные органы в нескольких странах смогли связать онлайн -персонажи и их имена пользователей с реальными лицами. «Когда призвано для допроса, несколько подозреваемых решили сотрудничать с властями, облегчая проверку цифровых доказательств, хранящихся на их личных устройствах», – сказал Европо. «Несколько подозреваемых перепродают услуги, приобретенные у Smokeloader на размере, добавляя, тем самым добавив дополнительный уровень интереса к расследованию».
Европоль сказал, что это еще не совсем закончено. Правоохранительное агентство все еще расследует возможные лидеры, показывая, что у нее больше подозреваемых в перекрестии.
