L’operazione Endgame smantella la rete malware DanaBot

I dettagli sull’operazione Endgame contro il botnet DanaBot

L’operazione Endgame ha avuto come oggetto il botnet DanaBot.
La piattaforma di malware è stata finalmente smantellata, grazie a un intervento congiunto che ha coinvolto varie autorità.
Hanno partecipato a Endgame l’Europol, ma anche U.S. Department of Justice, FBI e U.S. Department of Defense’s Defense Criminal Investigative Service. Anche Eurojust e aziende quali Amazon, Google e PayPal hanno dato il proprio contributo. Hanno infine dato il loro contributo i membri della polizia di Germania, USA, Gran Bretagna, Francia, Danimarca e Paesi Bassi.

Sono stati fin da subito segnalati alcuni legami tra la rete malware e l’intelligence russa. Non a caso, come vedremo in seguito, l’operazione ha condotto all’arresto di alcuni hacker di nazionalità sovietica. Inoltre, la paternità di DanaBot è comunemente attribuita al grippo di hacker russi Scully Spider, un gruppo ben noto in Russia e mai apertamente osteggiato dalle autorità locali.

Insomma, Endgame è stata un’operazione possibile grazie all’apporto di autorità e privati di tutto il mondo. ESET ha fornito un’analisi approfondita sia del malware che della sua struttura di back end, contribuendo anche all’individuazione dei server utilizzati per il comando e controllo.
Proofpoint e CrowdStrike hanno affiancato le autorità fornendo informazioni sulle minacce, analisi sulle infrastrutture coinvolte e dettagli operativi relativi al gruppo criminale.

L’Europol contro il dropper di malware

Quel che ha reso necessario l’intervento di organi come l’Europol è la pericolosità di questo particolare dropper di malware.
Endgame si è infatti preoccupata di smantellare il botnet DanaBot, un malware-as-a-service, o MaaS che, in realtà, era una vera e propria piattaforma.

DanaBot, dall’epoca della sua introduzione nel 2018, si è evoluto e ha causato ingenti danni alle numerose vittime. Da semplice virus trojan, infatti, gli hacker russi lo hanno tramutato in una piattaforma di eCrime. Il funzionamento della piattaforma era molto semplice: veniva noleggiata per la gestione di botnet.
In sostanza, gli hacker mettevano a disposizione il malware, mentre i cosiddetti affiliati potevano diffonderlo dopo averlo modificato e personalizzato.

Endgame smantella la piattaforma di distribuzione e download per altre famiglie di malware

DanaBot, in sostanza, fungeva da piattaforma di distribuzione e download per altre famiglie di malware. Per questo si parla di botnet Danabot.
L’operazione Endgame, oltre a smantellare la rete creata dagli hacker, ha permesso di evidenziarne le moltissime funzionalità. Grazie alla piattaforma era possibile rubare dati personali, controllare i dispositivi infetti da remoto, registrarne gli schermi.

Era inoltre possibile procedere con l’esfiltrazione di informazioni dai browser, client di posta elettronica e software FTP, keylogging, acquisizione di file.
Oltre che specializzato nel furto di dati, DanaBot era anche responsabile della diffusione di ransomware. Per tutte queste ragioni, era uno strumento apprezzato dagli hacker dediti al cybercrime.

Il significato dei termini Malware-as-a-Service e ransomware

Nei paragrafi precedenti abbiamo introdotto diversi termini, quali malware-as-a-service e ransomware. Al fine di comprendere al meglio i dettagli dell’operazione Endgame, li analizzeremo e definiremo nei dettagli.

I MaaS, o Malware-as-a-Service, sono malware già pronti, che generalmente gli hacker noleggiano per i propri attacchi. Si tratta di veri e propri servizi, come appunto DanaBot, che vengono venduti o affittati nel dark web. Il loro punto di forza è la complessità, nonostante siano disponibili anche per chi non possiede basi solide in programmazione.

Tra i software malevoli diffusi grazie a DanaBot c’erano anche i ransomware. Con questo termine si indicano quei malware che possono bloccare gli accessi a un dispositivo. Il proprietario, in sostanza non riesce più ad accedere ai propri dati che, di solito, vengono crittografati. Per poter riavere accesso al dispositivo e ai dati al suo interno, di solito la vittima è tenuta a pagare un riscatto.

I numeri di DanaBot prima di Endgame

Dal 2018, anno in cui ha iniziato a prendere piede, fino all’operazione Endgame, la rete malware DanaBot è riuscita a infettare almeno 300.000 dispositivi.
Si stima che, a livello globale, l’entità dei danni causati sia superiore ai 50 milioni di dollari.
Gli attacchi sono stati diretti in ogni parte del globo, ma tra i Paesi più colpiti si segnalano Turchia, Polonia, Spagna e Italia.

Nel nostro Paese, i maggiori danni sono stati inflitti alle aziende. Spesso, gli attacchi hanno sfruttato nomi di enti statali. Non di rado, infatti, DanaBot ha utilizzato il nome dell’Agenzia delle Entrate per condurre gli attacchi e introdurre virus nei dispositivi delle vittime.

Grazie a Endgame, si è inoltre scoperto che gli hacker non utilizzavano solamente le email come veicolo di malware e ransomware. Non sono mancate le segnalazioni di annunci sponsorizzati mediante Google Ads che rimandavano a siti fraudolenti.

Endgame e la lotta al cybercrime: arrestati 16 hacker russi

Oltre che a smantellare la rete malware DanaBot, l’operazione Endgame ha permesso di assicurare alcuni cybercriminali alla giustizia.

L’operazione internazionale ha infatti ha emesso 20 mandati di arresto internazionali e permesso di arrestare 16 hacker russi. Non tutti i nomi degli arrestati sono stati diffusi, ma si sa che tra loro figurano Aleksandr Stepanov, Danil Khalitov e Aleksey Khudiakov.
Il resto degli arrestati, invece, è stato identificato solo a messo dello pseudonimo utilizzato. Secondo quanto diffuso dalle autorità che hanno partecipato a Endgame, il gruppo utilizzava la botnet DanaBot per diffondere i malware di diverso tipo e violare i sistemi.

Sono stati inoltre distrutti circa 300 server nel corso della lunga operazione, iniziata lo scorso anno. L’operazione ha permesso di individuare un totale di 650 domini che venivano utilizzati per dirigere gli attacchi a livello globale.