DanaBot僵尸网络被破坏，16名嫌疑人被起诉

DanaBot 僵尸网络在被破坏之前已经感染了超过 300,000 台设备并造成了超过 5000 万美元的损失。

臭名昭著的 DanaBot 僵尸网络在国际执法行动中遭到严重破坏，该行动还涉及针对十多人的指控和逮捕令。 

此次清除行动是“终局行动”的一部分，该行动过去还针对过Lumma Stealer、Smokeloader、TrickBot和Bumblebee等恶意软件家族。

欧洲刑警组织宣布，在“终局行动”的最新阶段，当局和私营部门合作伙伴的目标是从源头上打破勒索软件杀伤链，摧毁了大约 300 台服务器和 650 个域名，并对 20 人发出了国际逮捕令。该行动的目标是 DanaBot 和其他在之前的清除行动后重新出现的恶意软件家族。

作为“终局行动”的一部分，执法部门共查获了价值 2400 万美元的加密货币，其中包括在最新行动中查获的 400 万美元。  

美国司法部周四表示，DanaBot 僵尸网络在全球感染了 30 多万台计算机后被捣毁，该僵尸网络引发了欺诈和勒索软件攻击，造成至少 5000 万美元的损失。

美国司法部已对16名涉嫌参与DanaBot开发和部署的个人提起诉讼。其中包括39岁的亚历山大·斯捷潘诺夫（Aleksandr Stepanov，又名JimmBee）和34岁的阿尔乔姆·亚历山德罗维奇·卡林金（Artem Aleksandrovich Kalinkin，又名Onix），两人均来自俄罗斯新西伯利亚。 

他们两人目前仍逍遥法外，但如果在美国被起诉，卡林金将面临最高 72 年的监禁，而斯捷潘诺夫将面临最高 5 年的监禁。 

网络安全博主布莱恩·克雷布斯指出，卡林金是俄罗斯国有能源巨头俄罗斯天然气工业股份公司的一名 IT 工程师。

法庭文件显示，许多网络犯罪分子是在自己的电脑意外感染了 DanaBot 恶意软件后才被确认身份的。 

DanaBot 自 2018 年就已经存在。最初针对的是乌克兰、波兰、奥地利、意大利、德国和澳大利亚等国家，并迅速扩展到北美。 

DanaBot 采用恶意软件即服务模式，最初是一款银行木马，允许用户从受感染的系统中窃取敏感数据。后来，它发展成为其他恶意软件家族（包括勒索软件）的分发平台和加载器。 

多家网络安全公司协助执法部门采取行动。据Proofpoint称，该恶意软件在 2018 年至 2020 年期间被多个大型网络犯罪集团使用，主要通过恶意电子邮件传播。2020 年中期，该恶意软件从电子邮件威胁领域中消失，但在 2024 年中期又卷土重来。 

尽管该恶意软件不再通过电子邮件活动进行传播，但它仍然被网络犯罪分子使用，他们利用恶意广告和 SEO 中毒进行传播。 

CrowdStrike 追踪到该威胁行为者为Scully Spider，并指出该组织的活动受到了俄罗斯政府的容忍。

这可能是因为，除了以利润为导向的网络犯罪活动外，一些 DanaBot 子僵尸网络还被用来支持俄罗斯的军事行动，特别是针对乌克兰的军事行动，而其他子僵尸网络则被用于代表俄罗斯政府进行间谍活动。

司法部指出，专注于间谍活动的僵尸网络版本针对的是北美和欧洲的外交官、执法人员和军队成员。

Lumen Technologies旗下的 Black Lotus 实验室协助执法部门，该公司表示，DanaBot 平均每天活跃的命令与控制 (C&C) 服务器数量达到 150 个，这使得它成为 C&C 数量最多的恶意软件即服务平台之一。Black Lotus 和 Team Cymru 已对该僵尸网络的基础设施进行了研究。 

ESET研究员 Tomáš Procházka表示：“Danabot 能否从此次被取缔的事件中恢复过来还有待观察。然而，由于执法部门成功抓获了数名参与该恶意软件运营的个人，此次打击必将不可避免。”