O Departamento de Justiça dos Estados Unidos (DoJ) anunciou, na semana passada a desarticulação da infraestrutura online do malware DanaBot, uma ferramenta controlada por uma organização criminosa sediada na Rússia, responsável por infectar mais de 300 mil computadores em todo o mundo e causar prejuízos estimados em pelo menos US$ 50 milhões.
A operação, integrada à iniciativa multinacional Operação Endgame, resultou na apreensão de servidores de comando e controle (C2) do DanaBot, incluindo dezenas de servidores virtuais hospedados nos EUA, e na acusação formal de 16 indivíduos por seu envolvimento no desenvolvimento e distribuição do malware. Entre os acusados, dois russos, Aleksandr Stepanov, 39 anos, e Artem Aleksandrovich Kalinkin, 34 anos, ambos de Novosibirsk, estão foragidos.
Leia abaixo a informação do Departamento de Justiça dos EUA
LOS ANGELES – Uma acusação do grande júri federal e uma queixa criminal reveladas hoje acusam 16 réus que supostamente desenvolveram e implantaram o malware DanaBot, que uma organização de crimes cibernéticos sediada na Rússia controlou e implantou, infectando mais de 300.000 computadores de vítimas ao redor do mundo, facilitou fraudes e ransomware e causou pelo menos US$ 50 milhões em danos.
A informação foi publicada no site oficial do governo da Califórnia no dia 22 de maio.
Os réus incluem Aleksandr Stepanov, 39, também conhecido como “JimmBee”, e Artem Aleksandrovich Kalinkin, 34, também conhecido como “Onix”, ambos de Novosibirsk, Rússia. Stepanov foi acusado de conspiração, conspiração para cometer fraude eletrônica e fraude bancária, roubo de identidade qualificado, acesso não autorizado a um computador protegido para obter informações, violação não autorizada de um computador protegido, grampo telefônico e uso de comunicação interceptada.
Kalinkin foi acusado de conspiração para obter acesso não autorizado a um computador para obter informações, obter acesso não autorizado a um computador para fraudar e cometer violação não autorizada de um computador protegido. Acredita-se que ambos os réus estejam na Rússia e não estejam presos.
De acordo com a acusação e a queixa, o malware DanaBot utilizou diversos métodos para infectar os computadores das vítimas, incluindo mensagens de spam contendo anexos ou hiperlinks maliciosos. Os computadores das vítimas infectados pelo malware DanaBot tornaram-se parte de uma botnet (uma rede de computadores comprometidos), permitindo que os operadores e usuários da botnet controlassem remotamente os computadores infectados de forma coordenada. Os proprietários e operadores dos computadores das vítimas geralmente não têm conhecimento da infecção.
O malware DanaBot supostamente operava em um modelo de malware como serviço, com os administradores alugando acesso à botnet e às ferramentas de suporte para os conspiradores do cliente por uma taxa que normalmente era de vários milhares de dólares por mês. O malware DanaBot era multifunções e tinha amplas capacidades para explorar os computadores das vítimas. Ele podia ser usado para roubar dados dos computadores das vítimas e sequestrar sessões bancárias, roubar informações do dispositivo, históricos de navegação do usuário, credenciais de contas armazenadas e informações de carteiras de moedas virtuais.
O DanaBot também tinha a capacidade de fornecer acesso remoto completo aos computadores das vítimas, gravar teclas digitadas e gravar vídeos mostrando a atividade dos usuários nos computadores das vítimas. O DanaBot também foi usado como meio inicial de infecção para outras formas de malware, incluindo ransomware. O malware DanaBot infectou mais de 300.000 computadores em todo o mundo e causou danos estimados em mais de US$ 50 milhões.
Os administradores do DanaBot operavam uma segunda versão da botnet, usada para atingir computadores de vítimas em entidades militares, diplomáticas, governamentais e afins. Essa versão da botnet registrava todas as interações com o computador e enviava os dados roubados para um servidor diferente da versão do DanaBot, voltada para fraudes. Essa variante teria sido usada para atingir diplomatas, policiais e militares na América do Norte e na Europa.
“Malwares disseminados como o DanaBot prejudicam centenas de milhares de vítimas em todo o mundo, incluindo entidades militares, diplomáticas e governamentais sensíveis, e causam prejuízos de milhões de dólares”, disse o Procurador dos Estados Unidos, Bill Essayli, para o Distrito Central da Califórnia. “As acusações e ações anunciadas hoje demonstram nosso compromisso em erradicar as maiores ameaças à segurança cibernética global e perseguir os cibercriminosos mais maliciosos, onde quer que estejam.”
“As medidas de fiscalização anunciadas hoje, possibilitadas por parcerias duradouras entre a polícia e a indústria em todo o mundo, interromperam um grupo significativo de ameaças cibernéticas que lucrava com o roubo de dados de vítimas e o ataque a redes sensíveis”, disse o Agente Especial Encarregado Kenneth DeChellis, do Escritório de Campo Cibernético do Departamento de Defesa, Escritório do Inspetor-Geral, Serviço de Investigação Criminal de Defesa (DCIS). “O malware DanaBot era uma clara ameaça ao Departamento de Defesa e aos nossos parceiros. O DCIS defenderá vigorosamente nossa infraestrutura, pessoal e propriedade intelectual.”
“O anúncio de hoje representa um avanço significativo nos esforços contínuos do FBI para interromper e desmantelar o ecossistema de crimes cibernéticos que causa estragos na segurança digital global”, disse a Agente Especial Encarregada Rebecca Day, do Escritório de Campo do FBI em Anchorage. “Somos gratos pelos esforços coordenados de nossos parceiros policiais nacionais e internacionais para responsabilizar os criminosos cibernéticos, independentemente de onde operem.”
Uma acusação é meramente uma alegação. Todos os réus são presumidos inocentes até que se prove a sua culpa, além de qualquer dúvida razoável, em um tribunal.
Se condenado, Kalinkin enfrentará uma pena máxima legal de 72 anos em uma prisão federal, e Stepanov enfrentará uma pena máxima legal de cinco anos em uma prisão federal.
Como parte da operação de hoje, agentes do Serviço de Investigação Criminal de Defesa (DCIS) efetuaram apreensões e remoções de servidores de comando e controle do DanaBot, incluindo dezenas de servidores virtuais hospedados nos Estados Unidos. O governo americano está trabalhando com parceiros, incluindo a Shadowserver Foundation, para notificar as vítimas do DanaBot e ajudar a remediar as infecções.
Essas ações de aplicação da lei foram tomadas em conjunto com a Operação Endgame , um esforço contínuo e coordenado entre agências internacionais de aplicação da lei com o objetivo de desmantelar e processar organizações cibercriminosas ao redor do mundo.
Amazon, Crowdstrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team CYMRU e ZScaler forneceram assistência valiosa.
A investigação sobre o DanaBot foi liderada pelo Escritório de Campo de Anchorage do FBI e pelo Serviço de Investigação Criminal de Defesa, em estreita colaboração com o Bundeskriminalamt (BKA) da Alemanha, a Polícia Nacional dos Países Baixos e a Polícia Federal da Austrália. O Escritório de Assuntos Internacionais do Departamento de Justiça prestou assistência significativa.
O Procurador-Adjunto dos Estados Unidos, Aaron Frumkin, da Seção de Crimes Cibernéticos e de Propriedade Intelectual, está processando esses casos. O Procurador-Adjunto dos Estados Unidos, James E. Dochterman, da Seção de Confisco e Recuperação de Ativos, está cuidando do caso de confisco.
