去年5月欧洲刑警组织Europol联手美国、英国等十多个国家的执法机构进行执法行动Operation Endgame,对于多款僵尸网络Bumblebee、IcedID、Pikabot、Smokeloader、Trickbot查封服务器及相关域名,重创黑客利用这些僵尸网络病毒传播各式恶意软件的现象,如今这些执法单位采取第二波行动,并公布成果。
5月23日欧洲刑警组织Europol宣布,他们与欧洲司法组织Eurojust,以及加拿大、丹麦、法国、德国、荷兰、英国、美国的执法机关联手,从事执法行动Operation Endgame 2.0,自5月19日至22日,这些执法单位一共查封约300台服务器、封锁650个域名,并对20名嫌犯发布全球通辑令,查获350万欧元加密货币不法所得,使得累积查获赃款达到了2,120万欧元。
而这次他们主要的执法目标,聚焦在黑客用来取得初始入侵渠道,并导致受害组织被植入勒索软件的恶意程序,包含Bumblebee、DanaBot、Hijackloader、Lactrodectus、Qakbot(QBot)、Trickbot,以及Warmcookie。
另一方面,美国司法部(DOJ)也根据上述执法行动,起诉从事Qakbot、DanaBot相关的网络罪犯。
美国联邦陪审团起诉带领Qakbot的首脑Rustam Rafailevich Gallyamov,此人现年48岁,居住于俄罗斯莫斯科,被控犯下共谋计算机欺诈及滥用,以及一连串电汇欺诈的罪名。在美国、法国、德国、荷兰等7个国家的通力合作下,美国司法部没收此人2,400万美元的加密货币资产,并表明这些资产将用来赔偿受害者。
值得留意的是,美国并非首度对Rustam Rafailevich Gallyamov经营的Qakbot采取法律行动。2023年8月,由美国司法部及联邦调查局(FBI)主导,与多个国家联手,瓦解由全球70万台计算机组成的僵尸网络Qakbot,但此后Rustam Rafailevich Gallyamov调整了整个集团的犯罪活动方针,不再使用僵尸网络,而是通过垃圾邮件轰炸攻击手法,对受害组织的员工行骗,引诱他们提供受害组织的网络环境访问权限。起诉书提及,此人与他的同谋在受害计算机植入了勒索软件Black Basta和Cactus,假若相关罪名成立,Rustam Rafailevich Gallyamov将面临最高25年的徒刑。
4月25日联邦调查局根据扣押令没收非法所得,包含超过30个比特币,以及价值70万美元的泰达币(USDT),总价值估计超过2,400万美元。
针对DanaBot的部分,美国司法部起诉16名俄罗斯黑客,指控他们开发、传播DanaBot,导致全球30万台计算机受害,并助长网络欺诈及勒索软件攻击。对于这些黑客造成的损害,美国司法部估计至少有5千万美元。
此恶意程序主要以租用服务(Malware-as-a-Service)提供给网络罪犯,被用于传播勒索软件与其他恶意软件。但美国司法部指出,DanaBot还有另一个版本,被用于针对军事、外交、政府的相关组织下手,进行窃取机密的活动,一旦遭到感染,该恶意程序会记录所有与受害计算机的互动过程,并将所有窃得的数据传逃到特定的服务器,受害者包含北美及欧洲的外交官、执法人员、军人。
在起诉书中,美国司法部提及其中1名嫌犯Artem Aleksandrovich Kalinkin,此人现年34岁,使用Onix的代号,被指控共谋未经授权访问受害计算机,得以取得计算机存放的资讯、以欺骗的方式得到未经授权访问计算机的渠道,以及随意破坏受到保护的计算机。假若所有罪名都成立,Artem Aleksandrovich Kalinkin将有可能面临最高72年的刑期。
