Theo thông tin từ trang web chính thức của Endgame, từ ngày 19 đến ngày 22/5 năm nay, các cơ quan chức năng đã phá hủy khoảng 300 máy chủ trên toàn thế giới, vô hiệu hóa 650 tên miền và ban hành lệnh bắt giữ quốc tế đối với 20 tin tặc, giáng một đòn trực tiếp vào chuỗi tiêu diệt ransomware.

Ngoài ra, 3,5 triệu euro tiền điện tử đã bị tịch thu trong khoảng thời gian nói trên, nâng tổng số tiền bị tịch thu trong Chiến dịch Endgame lên 21,2 triệu euro.

Cùng với các đối tác trong khu vực tư nhân, các cơ quan chức năng do Cơ quan cảnh sát liên minh châu Âu (Europol) và Cơ quan Hợp tác Tư pháp hình sự Liên minh châu Âu (Eurojust) phối hợp cùng nhắm mục tiêu vào nhiều hoạt động tội phạm mạng, bao gồm Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot và Warmcookie.

Các chủng phần mềm độc hại này thường được cung cấp như một dịch vụ cho các tội phạm mạng khác và được sử dụng để truy cập vào mạng lưới của các nạn nhân bị nhắm mục tiêu trong các cuộc tấn công ransomware.

"Giai đoạn mới này chứng minh khả năng thích ứng và tấn công trở lại của lực lượng thực thi pháp luật, ngay cả khi tội phạm mạng tái tổ chức và tái cấu trúc", Giám đốc điều hành Europol Catherine De Bolle cho biết thêm. "Bằng cách phá vỡ các dịch vụ mà tội phạm dựa vào để triển khai phần mềm tống tiền, chúng tôi đang phá vỡ chuỗi phần mềm độc hại ngay từ nguồn gốc của nó".

DanaBot bị buộc tội

Vào thứ Năm tuần trước, Bộ Tư pháp Hoa Kỳ cũng đã công bố cáo buộc đối với 16 tên bị cáo buộc là một phần của băng nhóm tội phạm mạng người Nga kiểm soát hoạt động phần mềm độc hại DanaBot.

Các nhà chức trách Hoa Kỳ đã nêu tên tám trong số 16 công dân Nga bị truy tố (Aleksandr Stepanov, Artem Aleksandrovich Kalinkin, Danil Khalitov, Aleksey Efremov, Kamil Sztugulewski, Ibrahim Idowu, Artem Shubin và Aleksey Khudiakov), trong khi tám người khác được nhắc đến bằng bí danh của họ.

Theo khiếu nại, họ đã sử dụng botnet để triển khai thêm các phần mềm độc hại, bao gồm cả phần mềm tống tiền và đã lây nhiễm hơn 300.000 máy tính trên toàn cầu, gây thiệt hại vượt quá 50 triệu đô la.

Phần mềm độc hại DanaBot đã hoạt động từ năm 2018 và theo mô hình phần mềm độc hại dưới dạng dịch vụ, cho phép quản trị viên thuê quyền truy cập vào botnet và các công cụ hỗ trợ của họ với giá hàng nghìn đô la mỗi tháng. Phần mềm độc hại này cũng có thể chiếm đoạt các phiên giao dịch ngân hàng, đánh cắp dữ liệu và lịch sử duyệt web, đồng thời cung cấp quyền truy cập từ xa hoàn toàn vào các hệ thống bị xâm phạm, cho phép ghi lại các lần gõ phím và ghi lại video hoạt động của người dùng.

Quản trị viên của DanaBot cũng đã sử dụng phiên bản thứ hai của botnet này cho mục đích do thám mạng, nhắm vào các tổ chức quân sự, ngoại giao và chính phủ.

"Phiên bản botnet này đã ghi lại mọi tương tác với máy tính và gửi dữ liệu bị đánh cắp đến một máy chủ khác với phiên bản DanaBot chuyên lừa đảo", Bộ Tư pháp Hoa Kỳ cho biết. "Biến thể này được cho là đã được sử dụng để nhắm vào các nhà ngoại giao, nhân viên thực thi pháp luật và các thành viên quân đội ở Bắc Mỹ và Châu Âu".

​Các hành động trước đó của Chiến dịch Endgame

Hành động mới đây của Chiến dịch Endgame diễn ra sau nhiều giai đoạn khác, bao gồm việc tịch thu hơn 100 máy chủ lưu trữ hơn 2.000 tên miền tải phần mềm độc hại, bao gồm IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader và SystemBC.

Kể từ đó, các cơ quan thực thi pháp luật cũng đã bắt giữ một chuyên gia về mã hóa tống tiền Conti và LockBit vào tháng 6/2024, người đã giúp phần mềm diệt vi-rút không phát hiện được phần mềm độc hại này.

Vào tháng 4 vừa qua, cảnh sát cũng đã truy tìm khách hàng của mạng botnet Smokeloader và bắt giữ ít nhất năm cá nhân bằng cách sử dụng thông tin tình báo thu được sau khi tịch thu cơ sở dữ liệu chứa thông tin về tội phạm mạng đã trả tiền cho các gói đăng ký Smokeloader.

Tuần này, công dân Nga Rustam Rafailevich Gallyamov, người đứng đầu hoạt động phần mềm độc hại Qakbot đã xâm phạm hơn 700.000 máy tính và cho phép các cuộc tấn công bằng phần mềm tống tiền, cũng đã bị truy tố tại Hoa Kỳ.

Ngoài ra, khoảng 2.300 tên miền được dùng vào hoạt động phá hoại đã bị tịch thu vào đầu tháng này do Microsoft dẫn đầu nhắm vào hoạt động đánh cắp thông tin phần mềm độc hại theo dạng dịch vụ (MaaS) của Lumma.