Grootschalige ontmanteling van botnets

De wereldwijde wetshandhaving kondigde onlangs Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.

De infrastructuur van IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee en trickbot is, in samenwerking met partners uit de private sector waaronder Proofpoint, ontmanteld. Volgens Europol leidde de samenwerking tot vier arrestaties en het offline halen van meer dan honderd servers die in tien landen. Ook werden meer dan 2.000 geconfisqueerde domeinen en illegale goederen bevroren.  

Operation Endgame 

Onderzoekers van Proofpoint delen tijdens Operation Endgame hun technische expertise over de infrastructuur van botnet met de lokale autoriteiten. De onderzoekers ondersteunen zo bij het identificeren van patronen in de manieren waarop dreigingsactoren servers inzetten en het opsporen van nieuwe malware-infrastructuur tijdens de creatie hiervan. Verder draagt de expertise in reverse engineering van malware van Proofpoint bij aan het voorzien van wetshandhaving over het ontwerp en de code van de bots. Hierdoor is het mogelijk om deze veilig te herstellen. De unieke kennis zorgde ook voor het identificeren van de grootste en meest impactvolle malwarecampagnes. Autoriteiten hadden hierdoor inzichten in de dreigingen die grote gevolgen voor de samenleving hebben.   

Verschillende betrokken malware: 

Smokeloader 

Smokeloader is een modulaire malware met verschillende stealer -en toegangsmogelijkheden die op afstand beschikbaar zijn. Het doel van deze malware is het installeren van follow-on payloads. 

SystemBC 

SystemBC is een proxy-malware en backdoor die SOCKS5 gebruikt. Aanvankelijk werd de malware geleverd door exploits, maar later werd het populair in Ransomware-as-a-Service activiteiten.  

IcedID 

IcedID Malware bestaat uit een initiële loader die contact maakt met een Loader C2-server. Vervolgens downloadt het de standaard DLL Loader en levert daarna de IcedID Bot. De malware wordt vaak gebruikt als payload door access brokers zoals TA511, TA551, en TA577 en TA544. IcedID is vaak de eerste stap tot ransomware, waarbij de malware dient als een first-stage payload in ransomware campagnes 

Pikabot 

Pikabot malware bestaat uit twee componenten: een loader en een kernmodule. Deze zijn ontworpen voor het uitvoeren van willekeurige opdrachten en het downloaden van extra payloads. Het doel van Pikabot is om vervolgmalware te downloaden en de favoriete payload van dreigingsactor TA577 (een van de meest geraffineerde en hardnekkige dreigingen). 

Bumblebee 

Bumblebee is een geavanceerde downloader met als doel het uitvoeren en downloaden van extra payloads. De downloader dropt payloads, waaronder Cobalt Strike, shellcode, Sliver en Meterpreter en de Bumblebee loader levert vervolgens follow-on ransomware af.