Під час міжнародної операції правоохоронні органи порушили роботу ботнету DanaBot, а також висунули обвинувачення і видали ордери на арешт 16 громадян Росії.

Ліквідацію DanaBot здійснювали в рамках операції Endgame, що розпочалася ще минулого року. Нагадаємо, що тоді в операції «Ендшпіль» взяли участь представники поліції Німеччини, США, Великої Британії, Франції, Данії та Нідерландів.

Крім того, оперативну інформацію владі надавали експерти з компаній Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus та DIVD, які поділилися з правоохоронцями інформацією щодо інфраструктури ботнетів та внутрішньої роботи різної малварі.

Правоохоронці та їхні партнери з приватного сектору (Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru і Zscaler) прагнули зруйнувати ланцюжок роботи здирників і для цього звернулися до його витоків, сумарно відключивши близько 300 серверів і 650 доменів, а також видавши міжнародні ордери на арешт 20 осіб.

Нагадаємо, що DanaBot з’явився ще 2018 року. Спочатку шкідник був націлений на Україну, Польщу, Австрію, Італію, Німеччину та Австралію, але незабаром поширився і на Північну Америку.

DanaBot поширювався за моделлю MaaS (Malware-as-a-service, «Малвар як послуга») і спочатку був банківським трояном, що давав змогу викрадати конфіденційні дані із заражених систем. Пізніше він перетворився на платформу поширення і завантажувач для інших родин шкідливих програм, включно з здирницьким ПЗ.

Експерти компанії Lumen Technologies, які теж допомагали правоохоронним органам, заявляють, що DanaBot у середньому має 150 активних серверів, які щодня керують, що робило цю загрозу однією з найбільших MaaS-платформ за останні роки. Спільно з Team Cymru експерти провели аналіз інфраструктури ботнету.