Otoritas federal, penegakan hukum internasional, dan banyak organisasi swasta telah berkolaborasi dalam upaya multiyear untuk melumpuhkan danabot, menangani pukulan besar tidak hanya untuk operasi malware yang terkenal tetapi juga untuk penggunaan proxy cyber criminal pemerintah Rusia untuk tujuan negara bagian.
Layanan Investigasi Kriminal Pertahanan AS (DCIS) telah menyita infrastruktur server botnet yang berbasis di AS, “secara efektif menetralkan kemampuan aktor ancaman untuk mengeluarkan perintah untuk sistem yang dikompromikan,” menurut vendor keamanan crowdstrike, salah satu peserta dalam upaya penghentian, yang melacak kelompok dengan nama Scully Spider.
“Penyitaan ini memastikan bahwa server komando-dan-kontrol (C2) Danabot tidak dapat lagi digunakan untuk mengarahkan, memperbarui, atau memanipulasi jaringan mesin yang terinfeksi, memotong kontrol operator dan mencegah aktivitas jahat lebih lanjut terhadap para korban,” menurut posting blog oleh Operasi Musuh Termasuk Crowdstrike.
Pengadilan Distrik AS untuk Distrik Tengah California juga telah mendakwa 16 anggota organisasi kejahatan dunia maya yang berbasis di Rusia yang didakwa mengembangkan dan menggunakan Danabot, menurut dokumen pengadilan tidak disegel minggu lalu. Malware pertama kali terlihat sebagai Infostealer dan Trojan Perbankan pada 2018, tetapi akhirnya diubah menjadi perusahaan malware-as-a-service dan botnet yang luas yang memfasilitasi penyebaran ransomware dan muatan lainnya melalui jaringan afiliasi yang luas.
Penghapusan adalah gangguan besar kedua baru -baru ini dari perusahaan kejahatan dunia maya, setelah Lumma Stealer Takedown minggu lalu.
Pemimpin botnet didakwa
Dua pemimpin Danabot – Aleksandr Stepanov, 39, alias “Jimmbee,” dan Artem Aleksandrovich Kalinkin, 34, alias “Onix,” keduanya dari Novosibirsk, Rusia – termasuk di antara mereka yang didakwa. Keduanya menghadapi banyak tuduhan kriminal dan potensi waktu di penjara tetapi saat ini tetap di Rusia dan tidak mungkin ditahan.
Stepanov bertindak sebagai pengembang dan administrator utama Danabot, sementara Kalinkin adalah co-administrator untuk infrastruktur Danabot dan memimpin operasi penjualannya. Both promoted the malware on underground forums to encourage affiliates to spread Danabot, even partnering with the authors of malware cryptors and loaders such as Matanbuchus by offering special pricing in a distribution bundle to their customers, according to posting blog Oleh Tomáš Procházka dari ESET, perusahaan lain yang berpartisipasi dalam pencopotan.
Pada saat gangguannya, fitur -fitur utama Danabot termasuk kemampuan untuk mencuri berbagai data dari browser, klien surat, klien FTP, dan perangkat lunak populer lainnya; Keylogging dan perekaman layar; kendali jarak jauh real-time dari sistem korban; pengambilan file; dukungan untuk Suntikan web seperti Zeus dan perebutan bentuk; dan unggahan dan eksekusi muatan sewenang -wenang, menurut ESET.
Organisasi Penjahat Siber Rusia yang luas
Investigasi mengungkapkan berbagai metode kru Danabot dan afiliasinya yang digunakan untuk menyebarkan malware, serta perusahaan bisnis yang kompleks yang menawarkan infrastruktur dan dukungan kepada afiliasi seperti halnya perusahaan yang sah.
Bertindak melalui persona online mereka Jimmbee dan Onix, Stepanov dan Kalinkin mempromosikan malware di forum bawah tanah untuk mendapatkan pelanggan baru, menawarkan berbagai opsi sewa. Afiliasi dapat memilih bagaimana mereka ingin menghasilkan build Danabot baru, dan kemudian menjadi tanggung jawab mereka untuk mendistribusikan bangunan ini melalui kampanye mereka sendiri.
“Toolset khas yang disediakan oleh penulis Danabot ke afiliasinya mencakup aplikasi panel administrasi, alat koneksi back untuk kontrol bot waktu nyata, dan aplikasi server proxy yang menyampaikan komunikasi antara bot dan aktual [C2] Server, “Menurut Eset's Walk.
Afiliasi biasanya digunakan kampanye phishing Untuk menginfeksi komputer korban, menyebarkan danabot melalui pesan email yang berisi lampiran jahat atau hyperlink. Begitu komputer terinfeksi danabot, mereka menjadi bagian dari botnet yang dikendalikan oleh operator danabot untuk terlibat dalam kegiatan jahat lebih lanjut.
Negara-negara: Penggunaan danabot Kremlin
Meskipun aktor Danabot sendiri bukan bagian dari pemerintah Rusia, Kremlin sebagian besar mentolerir aktivitas kelompok kriminal dan bahkan secara langsung menggunakan danabot dalam serangan untuk mendukung Rusia Invasi Ukrainamenurut crowdstrike, termasuk a Serangan Denial-of-Service (DDOS) Terdistribusi Melawan Kementerian Pertahanan Ukraina segera setelah konflik dimulai, menurut ESET.
“Danabot adalah platform malware-as-a-service yang produktif di ekosistem E-Crime, dan penggunaannya oleh aktor Rusia-Nexus untuk spionase mengaburkan batas antara kejahatan E-E-Rusia dan operasi cyber yang disponsori negara,” Adam Meyers, Kepala Operasi Pengacara Counter For CrowdStrike, memberi tahu Dark Reading.
Investigasi juga menemukan sub-botnet danabot yang berfokus pada spionase Ikatan dengan Intelijen Rusiayang “menyarankan strategi yang diperhitungkan untuk memanfaatkan proksi kriminal untuk tujuan negara,” di pihak rezim Vladmir Putin, menurut pos Crowdstrike. Mengganggu botnet mengirimkan pesan yang jelas ke Kremlin bahwa kegiatan semacam itu tidak akan ditoleransi di panggung internasional, menurut pos.
“Penghapusan ini menunjukkan pentingnya kemitraan publik-swasta dalam tidak hanya mengganggu kejahatan dunia maya yang termotivasi secara finansial, tetapi dalam melawan ancaman cyber Rusia yang lebih luas yang memadukan kegiatan kriminal dan yang disponsori negara,” menurut Crowdstrike.
Bersama dengan FBI dan DCIS Departemen Pertahanan, otoritas internasional lainnya yang mengambil bagian dalam pencopotan Danabot termasuk Departemen Kehakiman AS, Bundeskriminalamt Jerman, polisi nasional Belanda, dan polisi federal Australia. Perusahaan keamanan Flashpoint, Intel471, Proofpoint, Team Cymru, dan Zscaler serta raksasa internet Amazon, Google, dan PayPal juga bergabung dengan Crowdstrike dan ESET sebagai kolaborator sektor swasta.
Meskipun masih harus dilihat apakah Danabot dapat pulih dari pukulan besar hingga operasinya, para pemimpin utamanya tetap bebas, yang berarti mereka belum sepenuhnya keluar dari permainan. Meskipun ancaman yang akan segera terjadi dari malware tampaknya telah terhalang untuk saat ini, organisasi mungkin tidak sepenuhnya bebas dari potensi bahaya perusahaan kriminal yang kuat, dan harus tetap waspada.
Jangan lewatkan podcast rahasia Dark Reading terbaru, Hari saya menemukan grup yang tepat di tempat yang paling tidak mungkindi mana pemburu ancaman Ismael Valenzuela dan Vitor Ventura berbagi cerita tentang trik yang mereka gunakan untuk melacak ancaman terus -menerus dan kejutan yang mereka temukan di sepanjang jalan. Dengarkan sekarang!
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
