- WIADOMOŚCI
Operacja „Endgame”: największe uderzenie w infrastrukturę ransomware
Autor. CyberDefence24/Canva/Flickr - jerome delaunay
Europol ogłosił największą dotąd międzynarodową operację wymierzoną w infrastrukturę wykorzystywaną do ataków ransomware. W ramach „Endgame” służby z kilku państw i partnerzy prywatni, w tym Microsoft, uderzyli w sieci malware SocGholish, Amadey i StealC, namierzając setki serwerów i domen, odzyskując miliony skradzionych danych logowania.
Europol, we współpracy zarówno ze służbami, jak i partnerami prywatnymi, uderzył w zaplecze globalnej cyberprzestępczości.
W czwartek 24 czerwca br. poinformowano o największej dotąd międzynarodowej operacji w ramach „Endgame”, wymierzonej w mechanizmy umożliwiające ataki ransomware. Akcja objęła infrastrukturę wykorzystywaną przez złośliwe oprogramowanie SocGholish, Amadey i StealC.
Międzynarodowe organy ścigania (z Kanady, Danii, Niemiec, Holandii, Wielkiej Brytanii i Stanów Zjednoczonych), Microsoft i 10 innych prywatnych firm (w tym Orange Cyberdefense), w ciągu trwających dwa tygodnie działań, rorozbiły kluczowe elementy przestępczych „taśm produkcyjnych” służących do przeprowadzania ataków ransomware, wyłudzeń finansowych i operacji przeciwko infrastrukturze krytycznej.
W ramach koordynowanych przez Europol i Eurojust działań namierzono 326 serwerów i 142 domeny, odzyskano 27 milionów skradzionych danych logowania oraz zidentyfikowano, oznaczono i ograniczono wykorzystanie kryptowalut pochodzących z przestępstw o wartości ponad 41 milionów euro (ok. 176 mln zł.).
SocGholish na celowniku
Jednym z głównych celów akcji był SocGholish (znany też jako „FakeUpdates”), czyli złośliwe oprogramowanie typu dropper/loader, wykorzystywane do otwierania cyberprzestępcom drogi do przejętych systemów. Narzędzia tego rodzaju były udostępniane w modelu Cybercrime-as-a-Service (jako usługa), służąc innym grupom jako pierwszy etap infekcji, po którym te mogły prowadzić kolejne działania (np. instalowanie ransomware).
SocGholish rozprzestrzeniał się przede wszystkim przez przejęte strony internetowe – zwłaszcza oparte na WordPressie – na których użytkownikom wyświetlano fałszywe komunikaty o aktualizacji przeglądarki, przez co ofiary pobierały szkodliwy program. W ramach operacji wymierzonej w tę infrastrukturę usunięto 14 971 zainfekowanych witryn, należących m.in. do restauracji, warsztatów samochodowych i innych firm świadczących codzienne usługi.
Działania operacji w tej kwestii obejmowały czyszczenie stron WordPress, informowanie poszkodowanych właścicieli, zachęcanie ich do aktualizacji platform i wzmocnienia danych logowania, a także rozbicie botnetu SocGholish poprzez przejęcie domen i odłączenie serwerów.
SocGholish jest łączony z rosyjską grupą Evil Corp, znaną wcześniej z malware Zeus i Dridex oraz powiązaną z operacjami ransomware i praniem pieniędzy.
Dwa narzędzia, jeden cel
W operacji uwagę poświęcono też Amadey i StealC – narzędziom, które pełniły rolę technicznego zaplecza cyberprzestępców.
StealC to złośliwe oprogramowanie typu stealer z funkcją droppera, tworzone przede wszystkim po to, by wyciągać z przejętych komputerów poufne informacje (hasła, dane etc.) i przekazywać je do dalszego bezprawnego wykorzystania (sprzedaż danych, oszustwa).
Amadey działał, podobnie do SocGholish, jako dropper/loader, czyli program służący do uzyskania pierwszego dostępu do urządzenia i instalowania na nim kolejnych szkodliwych narzędzi. Rozprzestrzeniał się głównie przez kampanie phishingowe. Potrafił też kraść wrażliwe informacje.
Microsoft wskazał na powiązania między Amadey i StealC – pierwszy z nich zapewniał początkowe wejście do systemów, drugi odpowiadał za pozyskiwanie haseł i poufnych danych. Razem tworzyły ważny element przestępczego łańcucha dostaw.
Według informacji Microsoftu, tylko w pierwszych dwóch tygodniach maja 2026 roku programy były łączone z infekcjami ponad 140 000 komputerów na całym świecie.
Europol przestrzega
Holenderska policja zabezpieczyła już zainfekowane witryny i poinformowała ich właścicieli, apelując do użytkowników WordPressa o zmianę danych logowania, włączenie uwierzytelniania wieloskładnikowego, usunięcie nieznanych kont administracyjnych i bieżące aktualizowanie stron.
Sprawa SocGholish pokazuje, że fałszywe aktualizacje przeglądarek mogą wyglądać wiarygodnie, ale po instalacji łączą komputer z infrastrukturą cyberprzestępców i dają im początkowy dostęp do systemu.
Europol przypomina, że nie należy ufać wyskakującym oknom w przeglądarce ani efektownym komunikatom wymuszającym natychmiastowe działanie. Prawdziwe aktualizacje powinno się pobierać wyłącznie z oficjalnych źródeł, takich jak ustawienia systemowe lub sklep z aplikacjami.
Europol w swoim komunikacie zwraca też uwagę na zmianę podejścia całej organizacji – zamiast zwalczać pojedyncze zagrożenia, tym razem uderzono w cały mechanizm pozwalający cyberatakom przybierać masową skalę.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].