Europol kaatoi 326 palvelinta ja takavarikoi 47 miljoonaa dollaria kryptoa
- Europol kaatoi operaatiossaan 326 palvelinta ja 142 verkkotunnusta sekä takavarikoi 47 miljoonan dollarin kryptovarat.
- Kohteena olivat SocGholish-, StealC- ja Amadey-haittaohjelmat, jotka myivät palvelujaan muille rikollisille.
- Microsoftin mukaan Amadey ja StealC liittyivät yli 140 000 tartuntaan kahdessa viikossa toukokuussa.
Operaatio Endgame ei jahdannut yksittäisiä tekijöitä vaan koko vuokrattavaa hyökkäyskoneistoa. Saman ketjun päässä on tavallinen käyttäjä, jonka salasanat ja varat ovat haittaohjelmien todellinen saalis.
Yhdellä iskulla kaatui 326 palvelinta ja 142 verkkotunnusta. Sen verran infrastruktuuria lainvalvonta tarvitsi viedäkseen pohjan kolmelta haittaohjelmalta, jotka olivat vuokranneet palvelujaan eteenpäin muille rikollisille.
Europol kertoi keskiviikkona saaneensa päätökseen kansainvälisen operaation, jonka nimi on "Endgame". Mukana olivat Kanada, Tanska, Saksa, Alankomaat, Britannia ja Yhdysvallat sekä yksityisistä yrityksistä Microsoft. Takavarikkoon päätyi 47 miljoonan dollarin edestä "rikollista alkuperää" olevia kryptovaroja, ja talteen saatiin yli 27 miljoonaa varastettua tunnistetietoa.
Miksi takavarikko kohdistuu juuri kryptovaroihin? Kiristyshaittaohjelmien ja tietovarkaiden tuotot liikkuvat lohkoketjuissa, joten varat saadaan kiinni samalla kun palvelimet ja lompakot menevät viranomaisten haltuun.
Rikollisuus palveluna (cybercrime-as-a-service)
Rikollinen palvelumalli, jossa haittaohjelman tekijä ei itse hyökkää vaan vuokraa työkalunsa muille. Asiakas maksaa pääsystä valmiiseen tartuntakoneistoon ja säästyy itse koodaamiselta. Malli on madaltanut kynnystä ryhtyä kyberrikolliseksi.
Kolme haittaohjelmaa, yksi ketju
Operaation kohteena oli kolme työkalua, jotka kaikki myivät palveluitaan muille kyberrikollisille.
SocGholish levitti valeselainpäivityksiä WordPress-sivustojen kautta ja toimi väylänä kiristyshaittaohjelmille. StealC keskittyi salasanojen ja digitaalisten identiteettien varastamiseen. Amadey taas levisi tietojenkalastelulla ja asensi saastuneisiin koneisiin lisää haittaohjelmia.
Mittakaava näkyy Microsoftin luvuista. Microsoft raportoi, että Amadey- ja StealC-tartunnat ylsivät yli 140 000:een toukokuun kahden ensimmäisen viikon aikana, ja että SocGholish saastutti 14 971 sivustoa.
Europolin tiedotteen mukaan operaatio merkitsi suunnanmuutosta torjuntatyössä. Yksittäisten uhkien sijaan iskettiin koko ketjuun, jonka varassa hyökkäykset kasvavat.
– Sen sijaan että keskityttäisiin vain yksittäisiin uhkiin, häiritsimme koko ketjua, joka mahdollistaa kyberhyökkäysten skaalautumisen, virastosta todettiin.
Tavallinen käyttäjä on ketjun pää
Endgame jatkaa samaa linjaa kuin aiemmin alas ajettu Tycoon 2FA -tietojenkalastelualusta, jonka purkamisessa olivat mukana muun muassa Coinbase ja Microsoft. Kohteena on yhä useammin rikollisten yhteinen infrastruktuuri, ei yksittäinen tekijä. Europolin mukaan varastetut tunnistetiedot päätyvät rikollisten markkinapaikoille, joilta seuraavat hyökkääjät ostavat valmiita kirjautumistietoja tyhjentääkseen tilejä ja lompakoita.
Lukijalle opetus on käytännönläheinen. Suuri osa varkauksista alkaa arkisesta klikistä, kuten väärennetystä selainpäivityksestä tai kalasteluviestistä, eikä monimutkaisesta murrosta. Juuri tällaiset haittaohjelmat keräävät salasanoja ja lompakon avaimia, jotka päätyvät sitten myyntiin muille rikollisille.
Toistaiseksi tehokkain suoja on terve epäluulo yllättäviä päivityskehotuksia ja latauspyyntöjä kohtaan. Selainpäivitys tulee selaimelta itseltään, ei satunnaiselta verkkosivulta. Kryptovarojen säilytys laitelompakossa pitää avaimet erillään koneesta, jonka tartunnan huomaa usein vasta, kun varat ovat jo kadonneet.
Jää nähtäväksi, kuinka nopeasti kaadetut palvelut korvautuvat uusilla. Haittaohjelmamarkkina on osoittautunut varsin sitkeäksi, mutta 47 miljoonan dollarin takavarikko ja 326 suljettua palvelinta nostavat ainakin hetkeksi rikollisten kustannuksia.
