• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

Операция Европола Endgame против IcedID, SystemBC, Pikabot, Smokeloader

admin

admin

#root
Администратор
Регистрация
20.01.2011
Сообщения
7,665
Розыгрыши
0
Реакции
135
Официальный пресс-релиз: Для просмотра ссылки Войди или Зарегистрируйся
Сайт операции: Для просмотра ссылки Войди или Зарегистрируйся

Время проведения: с 27 по 29 мая

Итоги:
  • 4 ареста (1 в Армении и 3 на Украине)
  • 16 обысков (1 в Армении, 1 в Голландии, 3 в Португалии и 11 на Украине)
  • более 100 серверов вынесены или приостановлены в Болгарии, Канаде, Германии, Литве, Голландии, Румынии, Швейцарии, Великобритании, США и на Украине
  • более 2000 доменов перешли под контроль ментов

Основные подозреваемые заработали более 69 миллионов евро в крипто-валюте.

Страны-участники:
EU Member States:
  • Denmark: Danish Police (Politi)
  • France: National Gendarmerie (Gendarmerie Nationale) and National Police (Police Nationale); Public Prosecutor Office JUNALCO (National Jurisdiction against Organised Crime) Cybercrime Unit; Paris Judicial Police (Préfecture De Police de Paris)
  • Germany: Federal Criminal Police Office (Bundeskriminalamt), Prosecutor General's Office Frankfurt am Main – Cyber Crime Center
  • Netherlands: National Police (Politie), Public Prosecution Office (Openbaar Ministerie)
Non-EU Member States:
  • EU Member States:
  • The United Kingdom: National Crime Agency
  • The United States: Federal Bureau of Investigation, United States Secret Service, The Defense Criminal Investigative Service, United States Department of Justice
Нажмите для раскрытия...

Координационные центры (термин с сайта Европола, не моя фантазия):
  • Portugal: Judicial Police (Polícia Judiciária)
  • Ukraine: Prosecutor General’s Office (Офіс Генерального прокурора); National Police (Національна поліція України); Security Service (Служба безпеки України)

Всем рекомендую проверить партнеров - а не месте ли, и если даже на месте - а не пропадали ли они с 27 по 29 мая.
Тоже самое касается и ваших серверов - а не лежали ли они с 27 по 29 мая "из-за проблем с питанием или жестким диском".

Европол обещает новые детали скоро (на сайте тоже красуется модный таймер, как и совсем недавно в другом месте).

Германия добавила постеры на европейский сайт розыска (т.е. тех, кого не арестовали, но очень хотят): Для просмотра ссылки Войди или Зарегистрируйся

1) GRUBER, Airat Rustemovich - Smokeloader - Для просмотра ссылки Войди или Зарегистрируйся
2) KUCHEROV, Oleg Vyacheslavovich - gabr - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
3) POLYAK, Sergey Valerievich - cypher - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
4) ANDREEV, Fedor Aleksandrovich - azot, angelo - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
5) TESMAN, Georgy Sergeevich - core - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
6) BRAGIN, Anton Alexandrovich - hector - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
7) CHEREPANOV, Andrei Andreyevich - fast, basil - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
8) CHERESHNEV, Nikolai Nikolaevich - biggie - TrickBot - Для просмотра ссылки Войди или Зарегистрируйся
Нажмите для раскрытия...
 
Там были обновления, но у меня не было времени их запостить.

Тем не менее, два ролика я нахожу важными:
1. Fool's Gold.

Призыв капитулировать к Алексею с ником Gold и возможно другими его/либо связанными никнеймами: Manhattan, Aurum, Palmresort, Goldtower, New York.

Фоном идут следующие фразы (надерганные с каких-то логов, либо постов на форуме), которые не выглядят случайными (возможно имеют значение для Алексея):
  • "он сам ничего не делает. Z";
  • "будь он проклят! M.";
  • "с ним точно нужно работать? V.";
  • "ему нельзя доверять, как мне говорили. Голд обманул тех, кто на него работал";
  • "я ему сказал, что не хочешь с ним работать".

Набор других открыток: South Carolina, Florida, Miami (на последней акцент).

Текст другой открытки:

2. That's ODD.


Отсветили никнеймы автора Emotet: Odd, Cbd748, Mors, Ivanov Odd, Morse, C700, Veron, Aron.

Судя по всему фактурки не хватает, поэтому обращаются к добровольным помощникам милиции помочь.

3. Connection lost.

Наименее значимый ролик к кому-то с никнеймом Psevdo / SystemBC.

  • Приводятся якобы его сообщения с неизвестного мне форума, полученные обратным машинным переводом русский -> английский -> русский.
  • На слайде можно увидеть схему обращения контрольки к клиентам, подписанным Fin12, Ryuk, Egregor, Conti, Lockbit.

Из свежих новостей - еще в апреле был задержан 28-летний украинцец из Киева, афф Конти, который подозревается в локе голландской международной компании в 2021. Пресс-релиз выпустили голландцы: Для просмотра ссылки Войди или Зарегистрируйся
 
Европол огласил новые результаты трансграничной операции Endgame.

Выявлены и задержаны пятеро предполагаемых пользователей ботнета на основе Smokeloader; деактивация серверов трояна прошла успешно.

Нацеленная на истребление вредоносных загрузчиков Operation Endgame была запущена в прошлом году. На первом этапе правоохранительным органам удалось обезвредить более 100 серверов, используемых IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и подобными им зловредами.

На одном из серверов Smokeloader была обнаружена клиентская база (ботнет предоставляется в пользование как услуга, с оплатой за каждую установку с помощью трояна).

В пяти случаях исследователям удалось по записи идентифицировать обладателя юзернейма. Некоторые задержанные проявили готовность сотрудничать со следствием и добровольно сдали улики, облегчив и ускорив изучение изъятых компьютеров. За ходом

Operation Endgame теперь можно следить на специально созданном сайте. Там же можно передать властям релевантную информацию.

europol.europa.eu/media-press/newsroom/news/operation-endgame-follow-leads-to-five-detentions-and-interrogations-well-server-takedowns
 
Один из предполагаемых операторов вредоносной программы SmokeLoader оказался в центре уголовного дела в США после обвинений в краже данных более 65 тысяч человек. Обвиняемый Николас Мозес, выступавший под псевдонимом «scrublord», по данным следствия, использовал вредоносное ПО для массового сбора личной информации и паролей пользователей по всему миру.

Изначально дело рассматривалось в Северной Каролине, однако в середине прошлой недели материалы были переданы федеральным прокурорам в Вермонте. Причины перевода пока остаются неясными, но в приобщённых документах содержится информация о том, что Мозес признал свою вину по одному из пунктов обвинения — сговор с целью мошенничества и неправомерных действий, связанных с компьютерами.

Следствие утверждает, что с начала 2022 года до мая 2023 года Мозес поддерживал командный сервер в Нидерландах, с помощью которого управлял ботнетом SmokeLoader. Это вредоносное ПО работает как загрузчик — оно позволяет установить на заражённый компьютер более специализированные и незаметные программы, включая шпионские модули, средства кражи учётных данных и инструменты для DDoS-атак.

По информации прокуратуры, Мозес хранил базу данных с более чем 619 тысячами файлов, содержащих похищенные данные пользователей, и продавал полученные логины и пароли к различным онлайн-сервисам по цене от одного до пяти долларов за штуку. В ноябре 2022 года он якобы делился этими данными в одном из чатов, утверждая, что обладает более чем полумиллионом логов, полученных через SmokeLoader.

Среди жертв значится как минимум одно финансовое учреждение из Шарлотт (Северная Каролина), застрахованное Федеральной корпорацией по страхованию вкладов (FDIC). Несмотря на это, уголовное дело продолжает вестись в Вермонте. По информации СМИ, Департамент юстиции США пока не комментирует детали дела.

SmokeLoader — не новая угроза . Этот вредоносный инструмент впервые появился на подпольных форумах ещё в 2011 году и с тех пор активно используется киберпреступниками. Он распространяется в различных конфигурациях — от базовой версии за $400 до расширенного комплекта за $1650 с полным набором модулей.

Отдельное внимание к этому ПО возникло после крупномасштабной международной операции по его ликвидации. В мае 2024 года Европол провёл операцию под названием Endgame, в ходе которой были выведены из строя крупнейшие дропперы вредоносного ПО, включая SmokeLoader, IcedID, Pikabot и другие.

В начале 2025 года в рамках продолжения операции в ряде стран, включая США, Канаду, Францию, Германию, Нидерланды и Чехию, были проведены задержания, обыски и допросы пользователей ботнета SmokeLoader. Европол отметил, что некоторые из них продавали доступ к вредоносному ПО с наценкой, а другие считали, что давно выпали из поля зрения правоохранителей, но ошиблись.

По информации Европола, операция Endgame будет продолжаться, и новые аресты или следственные действия не исключены. Это свидетельствует о растущей международной координации в борьбе с преступной киберинфраструктурой и попытками деанонимизации её участников.

therecord.media/alleged-smokeloader-operator-charged-in-vermont
 
Войдите или зарегистрируйтесь для ответа.
Activity
So far there's no one here
Сверху Снизу