国际警方联合端掉勒索软件供应链攻击所用的300台服务器

本次联合行动的官方网站提到，“从5月19日至22日，机构联合端掉全球范围内约300台服务器、缓解了650个域名并签发了针对20个目标的国际逮捕令，直接打击了勒索软件击杀链。另外，它们在这个行动周还没收了价值350万欧元的密币，使Operation Endgame期间没收的总金额达到2120万欧元。”

欧洲刑警组织和欧洲检察官组织联合私营合作伙伴开展了多次打击网络犯罪团伙行动，这些团伙包括 Bumblebee、Lactrodectus、Qakbot、DanaBot、Trickbot和Warmcookie。这些恶意活动经常以服务形式向其它网络犯罪分子提供用于获得对目标受害者网络的访问权限。欧洲刑警组织的执行总监 Catherine De Bolle 表示，“这一新阶段展示了执法部门的适应和打击能力，即使是网络犯罪分子更改工具和重组之后也不例外。通过打击犯罪分子依赖的用于部署勒索软件的服务，我们在源头将击杀链一网打尽。”

上周四，美国司法部海提起对16名被告的诉讼，据称他们是控制 DanaBot 恶意活动的俄罗斯网络犯罪团伙成员。

美国当局控告其中的8名俄罗斯公民，并以化名形式提到了其余八名人员。从起诉书的内容来看，这些犯罪分子利用该僵尸网络部署其它恶意软件payload，包括勒索软件等，并已在全球感染30多万台计算机，造成的损失超过5000万美元。

DanaBot 勒索软件自2018年起活跃，以恶意软件即服务模式运行，管理员可租借僵尸网络和支持工具的访问权限，每个月租金为数千美元。该恶意软件还能够劫持银行会话、窃取数据和浏览历史，并提供对受陷系统的完全访问权限，从而记录击键和视频录制用户活动。DanaBot的管理员还使用该僵尸网络的第二个版本实施网络间谍活动，攻击军队、外交和政府组织机构。

美国国防部表示，“该僵尸网络的版本记录了与计算机的所有交互并将被盗数据发送到与 DanaBot 欺诈相关版本不同的服务器。这一边提据称用于攻击外交官、执法人员和北美和欧洲的军队。”

此前这些执法机构开展了多次Endgame行动，如从多次恶意软件加载器行动中没收托管超2000个域名的100多台服务器，包括 IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader和SystemBC。

至此之后，执法部门代理还在2024年6月逮捕了一名 Conti 和 LockBit 勒索加密专业人员，该人员帮助恶意软件躲避杀毒软件的检测。4月份，警方还端掉 Smokeloader 僵尸网络的客户并在没收Smokeloader 订阅用户关于网络犯罪分子信息的数据库后，利用所获情报至少拘留了五名人员。

上周，俄罗斯人 Rustam Rafailevich Gallyamov 即 Qakbot 恶意软件行动的负责人攻陷了70多万台计算机并发动勒索攻击，也被美国提起诉讼。另外，在由微软牵头的一次针对 MaaS 信息窃取器行动中，缴获了约2300个域名。