Spoločnosť ESET bola súčasťou dvoch významných globálnych operácií zameraných na narušenie činnosti neslávne známych infostealerov — Lumma Stealer a Danabot. Tieto medzinárodné operácie, vedené v úzkej spolupráci s bezpečnostnými expertmi, technologickými firmami a orgánmi činnými v trestnom konaní, viedli k rozsiahlemu obmedzeniu oboch hrozieb.
Infostealery, teda malvéry zamerané na odcudzenie citlivých informácií, sú často na začiatku oveľa závažnejších útokov. Ukradnuté prihlasovacie údaje sú cenným artiklom, ktorý sa predáva na čiernom trhu a slúži ako vstupný bod pre ransomvérové útoky.
Lumma Stealer: Jedna z najrozšírenejších hrozieb posledných rokov
Operáciu zameranú na narušenie činnosti Lumma Stealer, infostealera fungujúceho ako služba (malware-as-a-service), viedla spoločnosť Microsoft. Cieľom medzinárodného ťaženia bolo vyradenie všetkých známych riadiacich (C&C) serverov používaných za posledný rok, čím sa botnet stal vo veľkej miere nefunkčným. ESET v rámci operácie prispel podrobnou technickou analýzou, spracovaním desiatok tisícov škodlivých vzoriek a taktiež poskytol cenné štatistické údaje.
„Naše automatizované systémy spracovali desaťtisíce vzoriek Lumma Stealer, ktoré analyzovali s cieľom získať informácie o kľúčových prvkoch, ako sú riadiace (C&C) servery a identifikátory affiliate partnerov. Vďaka tomu sme mohli neustále monitorovať aktivitu Lumma Stealer, zoskupovať affiliate partnerov, sledovať vývojárske zmeny a mnoho ďalšieho,“ hovorí výskumník spoločnosti ESET Jakub Tománek, ktorý sa hrozbe venuje.
Lumma Stealer fungoval na báze predplatného a ponúkal rôzne funkcie na krádež dát. Affiliate partneri (kyberzločinci využívajúci malvér) si ho mohli kúpiť od 250 do 1000 dolárov mesačne. Distribúcia infostealeru k obetiam prebiehala cez phishingové kampane, falošné softvéry alebo iný škodlivý kód.
Danabot: Malvér s prepojením na ransomvér a DDoS útoky
ESET sa podieľal aj na operácii zacielenej proti ďalšiemu infostealeru na prenájom – Danabot. Súčasťou medzinárodného tímu, ktorý zakročil proti kyberzločincom, boli tiež americké bezpečnostné zložky, ako aj experti z firiem Amazon, Google, CrowdStrike či Proofpoint. Výskumníci spoločnosti ESET, ktorí Danabot sledujú už od roku 2018, poskytli technickú analýzu jeho infraštruktúry a pomohli identifikovať riadiace (C&C) servery.
Typická sada nástrojov, ktorú autori Danabotu poskytujú svojim affiliate partnerom, zahŕňa aplikáciu s panelom na správu, nástroj backconnect na ovládanie botov v reálnom čase a aplikáciu proxy servera, ktorý sprostredkúva komunikáciu medzi botmi a skutočným riadiacim (C&C) serverom. Partneri si môžu vybrať z rôznych možností generovania nových zostáv Danabot a je ich povinnosťou distribuovať tieto zostavy prostredníctvom vlastných kampaní.
„Uvidíme, či sa botnetu Danabot podarí zotaviť z takedownu. Útočníci však určite úder pocítili, keďže orgánom činným v trestnom konaní sa podarilo odhaliť niekoľko osôb zapojených do operácií tohto malvéru,“ uviedol Tomáš Procházka, výskumník spoločnosti ESET.
Danabot bol využívaný nielen na krádež dát, ale aj na šírenie ďalšieho škodlivého softvéru vrátane ransomvéru. Navyše bol nasadený aj na menej konvenčné aktivity, ako napríklad DDoS útok na ukrajinské ministerstvo obrany krátko po začiatku ruskej invázie.
Viac technických informácií o operáciách, ktorých súčasťou bol aj ESET, nájdete na našom blogu WeLiveSecurity: operácia namierená proti Lumma Stealer, operácia namierená proti Danabot. O najnovších odhaleniach výskumníkov spoločnosti ESET sa dočítate na sieti X (niekdajší Twitter), Bluesky a Mastodon.
