Europolは、昨年の主要なテイクダウンのフォローアップの一環として、ボットネット操作に関与していると考えられている数人の個人を拘留しており、主要なマルウェアドロッパーを解体したより大きな「操作エンドゲーム」に由来しています。
操作のエンドゲーム調査に続いて、ICEDID、SystemBC、Pikabot、Smokeloader、およびBumblebeeなどの主要なマルウェアドロッパーが昨年閉鎖されました。 Europolによると、押収されたデータベースの内容の分析により、「Superstar」として知られる個人が運営するSmokeloader Pay-Installボットネットの顧客を識別することができました。法執行機関は現在、逮捕を行い、家の捜索を行い、逮捕状または「ノックと協議」を実施しています。
「スーパースターはボットネットを使用して、ペイパーインストールサービスを実行し、顧客が被害者のマシンにアクセスできるようにしました。顧客はサービスを使用して、自分の犯罪活動のためにマルウェアを展開しました」とEuropol氏は述べています。調査により、ボットネットアクセスは、キーログ、ウェブカメラアクセス、ランサムウェアの展開、暗号化など、さまざまな目的で購入されたことが明らかになりました。法執行機関は、操業の終了時に押収されたデータベースに登録されたため、顧客を追跡しました。
FBIによると、マルウェアは世界中の何百万ものコンピューターに感染していました。 SystemBCは、感染システムとコマンドアンドコントロールサーバー間の匿名通信を促進しました。 Smokeloaderは、主に、感染したシステムに追加の悪意のあるソフトウェアをインストールするために、ダウンロード者として使用されました。同様に、ボクボットとしても知られているアイスドは、財務データの盗難と同様に、さまざまな犯罪を実行するためにさらに開発されていました。
昨年の運用の一環として、ボットネットに対する史上最大の操作 – 100を超えるサーバーが閉鎖または破壊され、ハッキングアクティビティに関連する2,000を超えるインターネットドメインが押収されました。しかし、昨年の5月の活動は、ランサムウェアを使用していた高レベルのプレーヤーに焦点を当てていましたが、たとえば、この最新の襲撃は、サイバー犯罪の顧客をサービスプロバイダーとしてモップアップするように設計されています。
いくつかの国の法執行機関は、オンラインのペルソナとそのユーザー名を実際の個人にリンクすることができました。 「質問のために呼び出されたとき、数人の容疑者は、個人のデバイスに保存されているデジタル証拠の調査を促進することにより、当局と協力することを選択しました」とEuropol氏は述べています。 「スモークローダーから購入したサービスをマークアップで再配置する容疑者の数人は、調査に関心のある追加層を追加します。」
Europolは、まだ完成していないと言いました。法執行機関は、可能性のあるリードを依然として調査しており、十字線でより多くの容疑者がいることを明らかにしています。
