Apariția unei noi variante a malware-ului DanaBot readuce în discuție rapiditatea cu care pot fi refăcute rețelele infractorilor cibernetici după operațiuni ample ale autorităților. Informația menționează revenirea DanaBot în atacuri recente, după ce în mai o acțiune internațională de aplicare a legii, denumită Operation Endgame, i-a afectat grav infrastructura.
DanaBot a reapărut sub forma versiunii 669, semnalată de cercetătorii Zscaler ThreatLabz, care precizează că noua infrastructură de comandă și control utilizează domenii Tor (.onion) și noduri backconnect. Practic, operatorii au încercat din nou să se ascundă în spatele anonimatului rețelei Tor și al rutelor intermediare, ceea ce îngreunează investigațiile și blocarea rapidă a activității. Zscaler a publicat și mai multe adrese de portofele de criptomonede folosite de actorii rău intenționați pentru a primi fonduri furate, în BTC, ETH, LTC și TRX, informație utilă pentru blocaje sau investigații financiare.
Originea DanaBot a fost descrisă de cercetătorii Proofpoint: un troian bancar scris în Delphi, distribuit prin emailuri malițioase și malvertising. Inițial funcționa ca serviciu malware-as-a-service, închiriat altor infractori contra unui abonament. Ulterior a evoluat într-un instrument modular pentru furt de informații și loader, vizând în special credențiale și date din portofele de criptomonede stocate în browsere. Campaniile sale au fost numeroase și unele la scară largă, iar din 2021 a reapărut periodic, reprezentând un risc constant pentru utilizatori.
Operațiunea Endgame din mai a vizat să fragmenteze infrastructura DanaBot, a condus la inculpări și confiscări și a redus semnificativ activitatea rețelei pentru câteva luni. Totuși, Zscaler arată că gruparea a reconstruit componentele necesare pentru a-și relua activitatea. Un aspect important este că mulți brokeri de acces inițial s-au reorientat către alte programe malițioase în perioada în care DanaBot a fost indisponibilă. În plus, dacă operatorii principali nu sunt arestați, o pauză în operațiuni rar echivalează cu desființare permanentă; motivația financiară menține activitatea.
Metodele clasice de infiltrare folosite în campaniile DanaBot rămân aceleași: emailuri malițioase cu linkuri sau atașamente, SEO poisoning și campanii de malvertising. Unele dintre aceste infiltrări au facilitat chiar atacuri de tip ransomware. Pentru organizații, recomandarea practică este includerea în listele de blocare a indicatorilor de compromitere (IoC) publicați de Zscaler și actualizarea instrumentelor de detecție și protecție pentru a acoperi noile variante și domeniile .onion semnalate.
Dincolo de detalii tehnice, revenirea DanaBot scoate în evidență două aspecte: pe de-o parte, viteza cu care se pot reconstrui rețelele de command-and-control atunci când există interes financiar; pe de altă parte, importanța colaborării internaționale și a urmăririlor financiare pentru a slăbi astfel de rețele. Exemplele concrete din acest caz includ varianta 669, utilizarea domeniilor Tor și portofelele în BTC, ETH, LTC și TRX, elemente pe care echipele de securitate le pot monitoriza imediat.
Noile variante și modificările în infrastructură impun vigilență continuă din partea organizațiilor și utilizatorilor: actualizări de sisteme, filtrare a emailurilor, monitorizarea portofelelor de criptomonede implicate și aplicarea IoC-urilor furnizate de firme precum Zscaler pot reduce impactul. Care măsuri consideri că ar fi cele mai eficiente pentru a preveni revenirea unor amenințări cibernetice similare?
Fii primul care comentează