Οι ΗΠΑ ανακοίνωσαν κατηγορίες εναντίον 16 ατόμων πίσω από το DanaBot, μια πλατφόρμα κακόβουλου λογισμικού σαν υπηρεσία (malware-as-a-service) που ευθύνεται για ζημίες άνω των 50 εκατομμυρίων δολαρίων παγκοσμίως.
“Το FBI αναφέρει ότι μια νεότερη έκδοση του DanaBot χρησιμοποιήθηκε για κατασκοπεία και ότι πολλοί από τους κατηγορούμενους αποκάλυψαν την πραγματική τους ταυτότητα αφού κατά λάθος μόλυναν τα συστήματά τους με το κακόβουλο λογισμικό”, αναφέρει το KrebsOnSecurity:
Αρχικά εντοπίστηκε τον Μάιο του 2018 από ερευνητές της εταιρείας ασφάλειας email Proofpoint. Το DanaBot είναι μια πλατφόρμα κακόβουλου λογισμικού σαν υπηρεσία που ειδικεύεται στην κλοπή διαπιστευτηρίων και την τραπεζική απάτη.
Σήμερα, το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε μια καταγγελία και το κατηγορητήριο από το 2022, η οποία ανέφερε ότι το FBI εντόπισε τουλάχιστον 40 συνεργάτες που πλήρωναν μεταξύ 3.000 και 4.000 δολαρίων το μήνα για πρόσβαση στην πλατφόρμα κλοπής πληροφοριών.
Η κυβέρνηση αναφέρει ότι το κακόβουλο λογισμικό μόλυνε περισσότερα από 300.000 συστήματα παγκοσμίως, προκαλώντας ζημίες άνω των 50 εκατομμυρίων δολαρίων.
Οι αρχηγοί του DanaBot ονομάζονται Aleksandr Stepanov, 39 ετών, γνωστός και ως “JimmBee”, και Artem Aleksandrovich Kalikin, 34 ετών, γνωστός και ως “Onix”. Και οι δύο είναι από το Novosibirsk της Ρωσίας.
Ο Kalikin είναι μηχανικός IT για την ρωσική κρατική ενεργειακή εταιρεία Gazprom. Το όνομα του προφίλ του στο Facebook είναι “Maffiozi”.
Σύμφωνα με το FBI, υπήρχαν τουλάχιστον δύο κύριες εκδόσεις του DanaBot.
Η πρώτη πωλήθηκε μεταξύ 2018 και 2020, όταν το κακόβουλο λογισμικό σταμάτησε να προσφέρεται σε ρωσικά forum. Η κυβέρνηση ισχυρίζεται ότι η δεύτερη έκδοση του DanaBot – που εμφανίστηκε τον Ιανουάριο του 2021 – κυκλοφόρησε για χρήση και στόχευση στρατιωτικών, διπλωματικών και μη κυβερνητικών υπολογιστών σε διάφορες χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών, της Λευκορωσίας, του Ηνωμένου Βασιλείου, της Γερμανίας και της Ρωσίας.
Το κατηγορητήριο αναφέρει ότι το FBI το 2022 κατέσχεσε διακομιστές που χρησιμοποιούσαν οι δημιουργοί του DanaBot για τον έλεγχο του κακόβουλου λογισμικού τους, καθώς και τους διακομιστές που αποθήκευαν κλεμμένα δεδομένα θυμάτων. Η κυβέρνηση δήλωσε ότι τα δεδομένα των διακομιστών δείχνουν επίσης πάρα πολλές περιπτώσεις στις οποίες οι κατηγορούμενοι για την DanaBot μόλυναν τους δικούς τους υπολογιστές, με αποτέλεσμα να ανέβουν τα δεδομένα των διαπιστευτηρίων τους σε κλεμμένα αποθετήρια δεδομένων που κατασχέθηκαν από τις ομοσπονδιακές αρχές.
“Σε ορισμένες περιπτώσεις, τέτοιες αυτομολύνσεις φαίνεται να έγιναν σκόπιμα για να δοκιμαστεί, να αναλυθεί ή να βελτιωθεί το κακόβουλο λογισμικό”, αναφέρει η καταγγελία.
“Σε άλλες περιπτώσεις, οι μολύνσεις φαίνεται να ήταν ακούσιες”.
Μια δήλωση του Υπουργείου Δικαιοσύνης αναφέρει ότι στο πλαίσιο της επιχείρησης, πράκτορες της Υπηρεσίας Ποινικών Ερευνών Άμυνας (DCIS) κατέσχεσαν τους διακομιστές ελέγχου της DanaBot, συμπεριλαμβανομένων δεκάδων εικονικών διακομιστών που φιλοξενούνται στις Ηνωμένες Πολιτείες.
Η κυβέρνηση αναφέρει ότι τώρα συνεργάζεται με εταίρους του κλάδου για να ειδοποιήσει τα θύματα της DanaBot και να βοηθήσει στην αποκατάσταση των μολύνσεων.
Η κυβέρνηση ευχαριστεί ορισμένες εταιρείες ασφαλείας για την παροχή βοήθειας (ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Team CYRMU και ZScaler).
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
