Europol은 작년에 주요 테이크 다운에 대한 후속 조치의 일환으로 봇넷 운영에 관여하는 것으로 여겨지는 몇몇 개인을 구금하여 주요 맬웨어 드롭퍼를 해체 한 더 큰 “운영 엔드 게임”에서 비롯되었습니다.
Operation Endgame 조사에 이어 Icedid, SystemBC, Pikabot, Smokeloader 및 Bumblebee를 포함한 주요 맬웨어 드롭퍼가 작년에 종료되었습니다. Europol에 따르면, 압류 된 데이터베이스의 내용에 대한 분석을 통해 ‘슈퍼 스타’로 알려진 개인이 운영하는 Smokeloader Pay-Install Botnet의 고객을 식별 할 수있었습니다. 법 집행 기관은 이제 체포하고 주택 수색을 수행했으며 체포 영장 또는 ‘노크 및 대화’를 수행했습니다.
Europol은“Superstar는 봇넷을 사용하여 설치 당 지불 서비스를 실행하여 고객이 피해자의 기계에 액세스 할 수있게되었습니다. 고객은 서비스를 사용하여 자신의 범죄 활동을 위해 맬웨어를 배치했습니다. 조사에 따르면 봇넷 액세스는 키로깅, 웹캠 액세스, 랜섬웨어 배포, 암호화 등 다양한 목적으로 구매 한 것으로 나타났습니다. 법 집행 기관은 고객이 Operation EndGame 동안 압수 된 데이터베이스에 등록 된 상태에서 고객을 추적했습니다.
FBI에 따르면이 맬웨어는 전 세계 수백만 개의 컴퓨터를 감염 시켰습니다. SystemBC는 감염된 시스템과 명령 및 제어 서버 간의 익명 통신을 촉진했습니다. Smokeloader는 주로 감염된 시스템에 추가 악성 소프트웨어를 설치하기 위해 다운로더로 사용되었습니다. 마찬가지로, Bokbot이라고도하는 Icedid는 재무 데이터 도난뿐만 아니라 다양한 범죄를 수행하기 위해 더욱 발전되었습니다.
작년 운영의 일환으로 – 봇넷에 대한 최대 규모의 일환으로 100 개가 넘는 서버가 종료되거나 중단되었으며 해킹 활동과 관련된 2,000 개가 넘는 인터넷 도메인이 압수되었습니다. 그러나 지난 5 월의 활동은 랜섬웨어를 사용하는 고급 플레이어에게 초점을 맞추었지만,이 최신 습격 세트는 사이버 범죄의 고객을 서비스 제공 업체로 연기하도록 설계되었습니다.
여러 국가의 법 집행 기관은 온라인 페르소나와 사용자 이름을 실제 개인에게 연결할 수있었습니다. Europol은“질문을 요청했을 때, 몇몇 용의자들은 개인 장치에 저장된 디지털 증거의 검토를 촉진함으로써 당국과 협력하기로 결정했다”고 말했다. “몇몇 용의자들은 Smokeloader에서 구매 한 서비스를 마크 업으로 재판매하여 조사에 추가 관심 계층을 추가했습니다.”
Europol은 아직 끝나지 않았다고 말했다. 법 집행 기관은 여전히 가능한 리드를 조사하고 있으며, 크로스 짝에 더 많은 용의자가 있음을 밝혀냅니다.
