Operação Endgame: desmanteladas três grandes redes de malware em nível internacional

Coordenação internacional contra a ciberdelinquência

A operação denominada Endgame reuniu durante duas semanas as forças de segurança do Canadá, Dinamarca, Alemanha, Países Baixos, Reino Unido e Estados Unidos, junto a Microsoft e outras empresas especializadas, para interromper as ferramentas utilizadas por ciberdelinquentes em ataques contra empresas, administrações e infraestruturas críticas.

Segundo informou a Europol, as autoridades atuaram contra 326 servidores e 142 domínios destinados à distribuição de malware. No processo, foram recuperadas 27 milhões de credenciais de acesso que haviam sido roubadas.

Modelo de ciberdelinquência como serviço

Os programas desmantelados faziam parte do modelo conhecido como "ciberdelinquência como serviço", mediante o qual grupos criminosos alugam ou vendem ferramentas a outros delinquentes para facilitar ataques informáticos.

SocGholish e sua conexão criminal

Entre os programas interceptados figurava o SocGholish, que se propagava através de falsas atualizações de navegadores distribuídas desde páginas comprometidas, muitas delas criadas com WordPress. Uma vez instalado, permitia aos atacantes acessar o sistema infectado e introduzir programas adicionais, incluídos aqueles destinados à extorsão digital.

As autoridades vinculam o SocGholish ao grupo criminoso russo Evil Corp, relacionado anteriormente com os programas Zeus e Dridex, assim como com operações de ransomware e lavagem de capitais.

Sites web limpos e recuperados

A operação permitiu além disso limpar 14.971 sites infectados, entre eles páginas de restaurantes, oficinas mecânicas e outros pequenos negócios que haviam sido comprometidos sem conhecimento de seus proprietários.

Outras infraestruturas desmanteladas

Também foram desmanteladas infraestruturas associadas ao StealC, especializado no roubo de senhas, credenciais e identidades digitais para sua venda ou uso fraudulento, e ao Amadey, uma ferramenta utilizada para introduzir programas malignos adicionais em sistemas já comprometidos.

Segundo dados recopilados pela Microsoft, ambos os programas estiveram relacionados com mais de 140 mil computadores infectados em todo o mundo durante as duas primeiras semanas de maio.