Operação internacional desmantela infraestrutura de ransomware e acusa alegados cibercriminosos

Uma operação de grande escala, coordenada por agências de aplicação da lei da Europa e dos Estados Unidos, visou infraestruturas utilizadas em ataques de ransomware, resultando na desativação de centenas de servidores e domínios associados à disseminação de malware. A ofensiva, designada “Operação Endgame”, insere-se num esforço continuado contra botnets e grupos de cibercrime organizados.

Segundo a Europol, foram desativados 300 servidores e cerca de 650 domínios em todo o mundo, numa ação que também levou à apreensão de 3,5 milhões de dólares e à emissão de mandados de detenção para vinte indivíduos suspeitos de estarem ligados a operações de ransomware. Entre os visados está um grupo associado ao desenvolvimento e à disseminação do malware DanaBot, utilizado para comprometer mais de 300 mil dispositivos.

O Departamento de Justiça dos EUA avançou com acusações formais contra 16 suspeitos ligados ao DanaBot. De acordo com as autoridades, este malware permitiu ações fraudulentas e ataques subsequentes com um impacto estimado em, pelo menos, 50 milhões de dólares. Os principais acusados, Aleksandr Stepanov e Artem Kalinkin, residentes em Novosibirsk, Rússia, enfrentam várias acusações, incluindo fraude informática e roubo de identidade. Kalinkin poderá enfrentar até 72 anos de prisão, caso venha a ser condenado.

Identificado pela primeira vez em 2018, o DanaBot propagava-se através de campanhas de phishing com anexos ou hiperligações maliciosas. Uma vez infetados, os dispositivos eram incorporados numa botnet que permitia controlo remoto por parte dos operadores. O malware oferecia funcionalidades avançadas de espionagem, como gravação de teclas, roubo de credenciais e acesso a sessões bancárias. Para além disso, há indícios de que o botnet foi utilizado para fins de vigilância contra alvos diplomáticos, governamentais e militares tanto na América do Norte como na Europa.

A operação contou com o apoio de empresas tecnológicas e de cibersegurança como a Google, Amazon, ESET, CrowdStrike, PayPal, ZScaler, ProofPoint, entre outras. Esta colaboração público-privada foi decisiva na identificação e interrupção de variantes de malware associadas a acessos iniciais a sistemas corporativos – uma etapa crítica nos ataques de ransomware.

Entre os malware visados, além do DanaBot, estão também o Bumblebee, Lactrodectus, Qakbot, HijackLoader, Trickbot e Warmcookie. De acordo com a Europol, estes programas são frequentemente disponibilizados como serviço (malware-as-a-service) e funcionam como ponto de entrada para operações de ransomware de grande escala.

A atual fase da Operação Endgame dá continuidade a ações realizadas no ano passado, que já tinham sido classificadas como a maior ofensiva internacional contra botnets até à data. Agora, o foco recai sobre variantes que surgiram em substituição das desativadas, bem como sobre grupos sucessores. A Europol sublinha que foram emitidos mandados de detenção internacionais contra 20 indivíduos considerados elementos-chave na disponibilização de serviços de acesso inicial para grupos de ransomware.

As autoridades norte-americanas indicaram ainda que estão a trabalhar com a organização Shadowserver Foundation para notificar potenciais vítimas do DanaBot, e que várias infraestruturas de comando e controlo associadas ao malware foram desativadas, incluindo servidores localizados em território dos EUA.

O Departamento de Defesa norte-americano confirmou a sua participação nas investigações, tendo descrito o DanaBot como uma “ameaça clara ao Departamento de Defesa e aos nossos parceiros”, devido à sua utilização alegada contra sistemas militares e diplomáticos.

Com esta operação, as autoridades procuram interromper de forma sustentada o ecossistema de cibercrime que sustenta ataques de ransomware, tendo como objetivo não apenas a desativação de infraestruturas técnicas, mas também a responsabilização judicial dos envolvidos.