Europol, zajedno s partnerima iz cijelog svijeta, danas objavljuje značajan udarac kibernetičkim kriminalnim mrežama u sklopu Operacije Endgame, sveobuhvatne međunarodne operacije usmjerene na kriminalnu infrastrukturu koja stoji iza ransomwarea i zlonamjernog softvera poput SocGholisha, Amadeya i StealC-a. U koordiniranim akcijama tijekom protekla dva tjedna, ključne komponente ovih zlonamjernih alata demontirane su kao dio javno-privatnog napora.
To je uključivalo provedbu zakona iz Kanade, Danske, Njemačke, Nizozemske, Ujedinjenog Kraljevstva, Sjedinjenih Država, američke softverske tvrtke Microsoft i drugih privatnih partnera, a međunarodnu aktivnost koordinirali su Europol i Eurojust. Glavni zajednički cilj bio je prekinuti "montažne trake" koje kibernetički kriminalci koriste za pokretanje ransomwarea, financijskih prijevara i napada na kritičnu infrastrukturu.
Kripto imovina kriminalnog podrijetla, trenutno vrijedna preko 41 milijun eura (47 milijuna američkih dolara), identificirana je, označena i time ograničena za korištenje. Štoviše, u sklopu ove operacije vraćeno je čak 27 milijuna ukradenih podataka za prijavu.
Tijekom ove akcije, agencije za provedbu zakona i partneri iz privatnog sektora su djelovali na 326 poslužitelja i 142 domene, što je ozbiljno osakatilo distribucijsku mrežu zlonamjernog softvera. Istovremenim uklanjanjem ovih alata, suradnja između agencija za provedbu zakona i privatnih strana povećala je trenje za kibernetičke kriminalce, otežavajući uspjeh, širenje ili oporavak napada.
Poslovni model „kibernetičkog kriminala kao usluge“
Neutralizirane varijante zlonamjernog softvera ponuđene su kao usluga („kibernetički kriminal kao usluga“), a drugi kibernetički kriminalci koristili su ih kao alat za početnu infekciju ciljanih sustava. Naknadno su poslužile kao polazna točka za daljnje kriminalne aktivnosti, poput instaliranja ransomwarea za digitalnu iznudu ili prijevarnu upotrebu podataka.
• Zlonamjerni softver SocGholish (tzv. dropper/loader) omogućio je neovlaštenim stranama pristup računalnim sustavima distribuirajući lažna ažuriranja preglednika putem kompromitiranih web stranica. Umjesto ažuriranja, korisnici interneta nehotice su instalirali zlonamjerni softver. Ovaj pristup, koji je uzrokovao bezbroj žrtava, prvenstveno se provodi hakiranjem web stranica izgrađenih pomoću WordPressa i njihovim zaražavanjem zlonamjernim softverom. Neovlašteni pristup zatim je iskorišten za daljnje zločine, poput instaliranja ransomwarea u svrhu digitalne iznude.
• Zlonamjerni softver StealC (tzv. stealer s funkcijom droppera), koji se širio putem više vektora napada, prvenstveno je bio dizajniran za izvlačenje osjetljivih informacija poput lozinki, pohranjenih podataka o pristupu i digitalnih identiteta s kompromitiranih računala te njihovo stavljanje na raspolaganje za naknadnu nezakonitu upotrebu, posebno trgovinu podacima i prijevarnu upotrebu.
• Zlonamjerni softver Amadey (tzv. dropper/loader) uglavnom se širio putem phishing kampanja. Tako je služio kao prva karika u većem lancu napada i bio je sposoban uvesti dodatni zlonamjerni softver u kompromitirane sustave. Zlonamjerni softver također je imao mogućnosti krađe i stoga je mogao dohvatiti osjetljive podatke.
Udarac kibernetičkoj kriminalnoj infrastrukturi
Tijekom akcije protiv SocGholisha, sanirano je 14 971 zaraženih web stranica - uključujući one restorana, automehaničarskih radionica i drugih svakodnevnih usluga. SocGholish je povezan s ruskom kibernetičkom kriminalnom skupinom Evil Corp. Ova je skupina prethodno bila odgovorna za zlonamjerni softver Zeus i Dridex, a povezana je i s nekoliko velikih operacija ransomwarea i pranja novca.
Ključne akcije uključivale su:
• Čišćenje zaraženih WordPress stranica i obavještavanje žrtava, poticanje na ažuriranje svojih platformi i jačanje prijavnih podataka.
• Onemogućavanje botneta SocGholish preuzimanjem naziva domena i isključivanjem poslužitelja.
• Obavještavanje žrtava putem platformi poput HaveIBeenPwned, DIVD, Spamhaus, CheckjeHack, NoMoreLeaks, Shadowserver i NL-NCSC, uz upozorenje vlasnika web stranica čiji su podaci procurili.
Poziv korisnicima WordPressa
Nizozemska policija već je uklonila ranjivosti sa zaraženih stranica i obavijestila vlasnike. Korisnici WordPressa potiču se da:
• promijene svoje prijavne podatke;
• omoguće višefaktorsku autentifikaciju;
• izbrišu sve nepoznate dodatne WordPress račune;
• ažuriraju svoju WordPress stranicu u budućnosti.
Spriječite zarazu računala zlonamjernim softverom SocGholish
SocGholish je također poznat kao 'FakeUpdates'. Njegov zlonamjerni softver distribuira se putem lažnih softverskih ažuriranja, na primjer za internetske preglednike. Kada netko instalira lažno ažuriranje, zlonamjerni softver otvara vezu s hakerima, koji potom dobivaju pristup računalnom sustavu. S ovim takozvanim početnim pristupom može se instalirati još opasniji softver.
Pripazite na sljedeće znakove kako biste to izbjegli:
• Nikada ne vjerujte skočnim prozorima koji se pojavljuju u vašem pregledniku.
• Ne vjerujte ažuriranjima koja su pretjerano blještavi i vrište za trenutnom akcijom.
• Ne vjerujte ažuriranjima samo zato što izgledaju vrlo legitimno. • Pravo ažuriranje uvijek dolazi iz službenog izvora, na primjer putem postavki vašeg sustava ili trgovine aplikacija.
Novi pristup: ciljanje "proizvodne trake" za kibernetički kriminal
Ova operacija označila je promjenu strategije: umjesto da se usredotoče isključivo na pojedinačne prijetnje, Europol, tijela za provođenje zakona i pravosudna tijela, kao i partneri iz privatnog sektora, poremetili su cijeli lanac koji omogućuje skaliranje kibernetičkih napada. Amadey i StealC, dva široko korištena alata za zlonamjerni softver, bili su meta Microsofta zajedno zbog njihovih međusobno povezanih uloga.
Amadey dobiva početni pristup uređajima, dok StealC izvlači lozinke i osjetljive podatke. Zajedno čine ključnu kariku u lancu opskrbe kibernetičkog kriminala. Prema uvidima koje je prikupio Microsoft, samo u prva dva tjedna svibnja 2026. Amadey i StealC bili su povezani s preko 140 000 zaraženih računala diljem svijeta.
Podrška Europola
Europol je odigrao središnju ulogu u ovoj međunarodnoj operaciji pružajući operativnu koordinaciju i olakšavajući besprijekornu suradnju među agencijama za provođenje zakona iz zemalja sudionica. Osigurala je razmjenu informacija u stvarnom vremenu putem SIENA-e, omogućujući sinkronizirane napore preko granica.
Europolov Europski centar za kibernetički kriminal (EC3) pružio je ključnu analitičku i tehničku podršku, provodeći unakrsne provjere atribucije, infrastrukture i financijskih istraga. EC3 je također pružio kibernetičke obavještajne podatke za obavijesti o žrtvama i dijelio praktične uvide s javnim i privatnim partnerima. Europolovi stručnjaci za praćenje kriptovaluta doprinijeli su praćenjem nezakonitih financijskih tokova i identificiranjem imovine. Osim toga, Europol je koordinirao strategije prevencije kako bi osigurao jedinstven odgovor i pružio strateški nadzor putem Zajedničke radne skupine za djelovanje protiv kibernetičkog kriminala (J-CAT), usklađujući nacionalne istrage u kohezivnom okviru.
O operaciji Endgame
Ove akcije dio su operacije Endgame, najveće međunarodne operacije ikada poduzete za borbu protiv onih koji omogućuju ransomware diljem svijeta. Koordinirana uz podršku Europola i Eurojusta, to je zajednički napor tijela za provedbu zakona i pravosudnih tijela Australije, Belgije, Kanade, Danske, Francuske, Njemačke, Nizozemske, Ujedinjenog Kraljevstva i Sjedinjenih Američkih Država. Više od 30 međunarodnih javnih i privatnih stranaka redovito podržava ove akcije.
Zemlje i agencije koje sudjeluju u tjednu akcije protiv tri botneta:
• Kanada: Kraljevska kanadska konjička policija (RCMP)
• Danska: Danska policija (Politi)
• Njemačka: Savezni ured kriminalističke policije (BKA)
• Nizozemska: Nacionalna jedinica za visokotehnološki kriminal (NHCTU)
• Ujedinjeno Kraljevstvo: Nacionalna agencija za kriminal (NCA)
• Sjedinjene Američke Države
• Europol
• Eurojust
• Privatni partneri: Microsoft, Shadowserver Foundation, Registrar of Last Resort (RoLR), Proofpoint, IBM X-Force, Infoblox, NorthWave, Orange Cyberdefense, Bitdefender, Have I Been Pwned (HIBP), Spamhaus