Europol, Operation Endgame’in son aşamasında suçla bağlantılı 41 milyon euronun üzerinde, yaklaşık 47 milyon dolar değerinde kripto varlığın dondurulduğunu açıkladı. İki hafta süren ve birden fazla ülkenin katıldığı operasyon kapsamında, kripto cüzdanlarını ve hesap bilgilerini hedef alan zararlı yazılım altyapısına darbe vuruldu.
Zararlı yazılım ağlarına operasyon düzenlendi
Operasyonda SocGholish, Amadey ve StealC adlı üç zararlı yazılım ailesinin arkasındaki altyapının dağıtıldığı bildirildi. Europol’e göre bu yazılımlar, parola ve kripto cüzdan verilerini ele geçirerek dolandırıcılık, hesap ele geçirme ve fidye yazılımı saldırılarında kullanılıyordu.
Europol, son aşamada 41 milyon euronun üzerindeki suç gelirli kripto varlığın tespit edilerek işaretlendiğini ve dondurulduğunu açıkladı.
Amadey’in sistemlere ilk erişimi sağladığı ve daha sonra ek zararlı yazılımlar yüklediği aktarıldı. Rusya bağlantılı Evil Corp ile ilişkilendirilen SocGholish’in ise ele geçirilmiş internet sitelerinde sahte tarayıcı güncelleme uyarıları üzerinden bulaştığı belirtildi. Yetkililer, bu iki aracın saldırı zincirinin ilk halkasını oluşturduğunu ve sürecin boşaltılan cüzdanlar ile fidye yazılımı vakalarına kadar uzanabildiğini kaydetti.
Mini sözlük: Infostealer, cihazlara sızarak kayıtlı parolaları, cüzdan dosyalarını, özel anahtarları ve kurtarma ifadelerini gizlice toplayan zararlı yazılım türüdür. CaaS ise siber suç araçlarının ve altyapısının kiralanabilir hizmet olarak sunulduğu yapıyı ifade eder.
Sunucular ve alan adları kapatıldı
Polis birimleri 326 sunucuyu ve 142 alan adını devre dışı bıraktı. Ayrıca 385 binden fazla ele geçirilmiş sistemden yaklaşık 27 milyon çalınmış kimlik bilgisi geri alındı. Yaklaşık 15 bin bulaşmış internet sitesinin temizlendiği, bunların önemli bölümünün küçük işletmelere ait olduğu belirtildi.
| Kalem | Veri |
|---|---|
| Dondurulan kripto varlık | 41 milyon eurodan fazla |
| Kapatılan sunucu | 326 |
| Kapatılan alan adı | 142 |
| Geri alınan kimlik bilgisi | Yaklaşık 27 milyon |
| Etkilenen sistem | 385 binden fazla |
Operasyona destek veren Microsoft, mayıs ayının ilk iki haftasında yalnızca Amadey ve StealC ile bağlantılı 140 binden fazla enfekte bilgisayar tespit edildiğini duyurdu. Şirketin Dijital Suçlar Birimi, son dokuz ayda Siber Suç Hizmetleri modelini destekleyen beş ayrı yapının çökertildiğini bildirdi.
Kripto cüzdan verileri hedef alındı
Uzmanlara göre infostealer olarak bilinen bu yazılımlar, kripto hırsızlığında başlıca yöntemlerden biri haline geldi. Cüzdan dosyaları, özel anahtarlar ve kurtarma ifadeleri kullanıcı fark etmeden cihazlardan alınabiliyor. Sahte yapay zeka araçları, oyun platformu temaları ve korsan oyun eklentileri de saldırıda kullanılan yöntemler arasında yer aldı.
Microsoft, Amadey ile StealC’in farklı kişilerce geliştirilmesine rağmen ortak altyapıda çalıştığını, bu sayede iki operasyonu tek bir suç ağı kapsamında değerlendirdiğini duyurdu.
Geçen yılın sonlarına doğru yürütülen önceki Operation Endgame adımında da 100 binden fazla kripto cüzdana ait giriş verisinin ele geçirildiği, ancak henüz kullanılmadığı ortaya çıkarılmıştı. Son aşamada ise saldırganların kontrolünü kesmeye yönelik çalışmaların sürdüğü ve 18 binden fazla mağdur bilgisayarın belirlendiği kaydedildi.
Yetkililer kullanıcıları uyardı
Yetkililer, bu tür operasyonların zararlı yazılımları tamamen ortadan kaldırmasının her zaman mümkün olmadığını, operatörlerin çoğu zaman yeniden örgütlenebildiğini vurguladı. Nitekim StealC’in bu ay yeni bir sürüm yayımladığı bilgisi paylaşıldı.
Europol ve ortakları, mağdur bildirimlerini Have I Been Pwned gibi hizmetler üzerinden yönlendiriyor. Böylece kullanıcılar, giriş bilgilerinin ve cüzdanlarına erişim sağlayabilecek verilerin saldırganların eline geçip geçmediğini kontrol edebiliyor.
