Operation Endgame, DanaBot Kötü Amaçlı Yazılımını Devre Dışı Bıraktı, 300 Sunucuyu Etkisiz Hale Getirdi

Europol ve Eurojust tarafından koordine edilen büyük bir uluslararası operasyonda, kolluk kuvvetleri ve özel sektör ortakları DanaBot kötü amaçlı yazılım ağını başarıyla çökertti.

Devam eden Operation Endgame'in bir parçası olan bu küresel çaba, 16 kişiye karşı federal suçlamalara, 19-22 Mayıs 2025 tarihleri ​​arasında dünya çapında yaklaşık 300 sunucunun ve 650 etki alanının etkisiz hale getirilmesine ve 20 hedef için uluslararası tutuklama emirlerinin çıkarılmasına yol açtı. Operation Endgame sırasında toplamda 21,2 milyon avrodan fazla kripto para ele geçirildi; bunların 3,5 milyon avrosu bu son eylem haftasında ele geçirildi.

Rusya merkezli bir siber suç örgütü tarafından kontrol edilen DanaBot kötü amaçlı yazılımı, dünya çapında 300.000'den fazla bilgisayarı etkileyerek dolandırıcılık ve fidye yazılımı yoluyla en az tahmini 50 milyon dolarlık zarara yol açtı. ABD Adalet Bakanlığı (DoJ) tarafından suçlananlar arasında, ikisi de Novosibirsk, Rusya'dan olan 39 yaşındaki Aleksandr Stepanov ve 34 yaşındaki Artem Aleksandrovich Kalinkin de bulunuyor ve ikisi de hala firarda.

İlk olarak Mayıs 2018'de tanımlanan DanaBot, yeteneklerini diğer suçlulara kiralayarak bir kötü amaçlı yazılım hizmeti (MaaS) olarak çalışıyordu. Çok yönlüydü, bankacılık kimlik bilgilerini, tarama geçmişini ve hatta kripto para cüzdanı bilgilerini çalarken uzaktan erişim, tuş kaydı ve ekran kaydı da sunuyordu. İlk enfeksiyonlar genellikle spam e-postaları aracılığıyla geliyordu. Hackread.com, Proofpoint araştırmacılarının ilk kez yayılmasını ayrıntılı olarak açıkladığı 2019'da DanaBot'un ortaya çıkışını özellikle bildirdi .

DanaBot'u 2018'den beri dikkatle takip eden ESET, bunun en önemli bankacılık zararlı yazılımlarından biri haline geldiğini doğruladı ve Polonya, İtalya, İspanya ve Türkiye gibi ülkelerin tarihsel olarak en çok hedef alınan ülkeler arasında olduğunu belirtti.

ESET araştırmacısı Tomáš Procházka, "Hassas verileri sızdırmanın yanı sıra, Danabot'un zaten tehlikeye atılmış bir sisteme fidye yazılımı da dahil olmak üzere daha fazla kötü amaçlı yazılım dağıtmak için de kullanıldığını gözlemledik." dedi .

Daha yakın zamanda, DanaBot'un yeni bir sürümünün, sahte sitelerden indirme yapan kullanıcıları kandırarak "ücretsiz VPN, anti-virüs yazılımı ve korsan oyunlar" için korsan yazılım anahtarlarında gizlendiği bulundu.

Finansal suçların ötesinde, soruşturma DanaBot'un uğursuz ikili amacını ortaya çıkardı. CrowdStrike tarafından SCULLY SPIDER olarak izlenen bir varyant, casusluk için Kuzey Amerika ve Avrupa'daki askeri, diplomatik ve hükümet kuruluşlarını hedef aldı ve ESET tarafından Rus işgalinin ardından Ukrayna Savunma Bakanlığı gibi hedeflere karşı DDoS saldırıları başlattığı gözlemlendi.

Europol'ün basın açıklamasına göre, bu büyük çaplı operasyon kapsamlı uluslararası iş birliğinin kanıtıdır. Soruşturma, FBI'ın Anchorage Saha Ofisi ve Savunma Suç Araştırma Servisi (DCIS) tarafından, Almanya'nın Bundeskriminalamt'ı (BKA), Hollanda Ulusal Polisi ve Avustralya Federal Polisi'nin önemli yardımlarıyla yürütüldü.

Europol ve Eurojust kritik koordinasyonu sağladı; Europol merkezindeki komuta merkezinde Kanada, Danimarka, Fransa, Almanya, Hollanda, İngiltere ve ABD'den gelen soruşturmacılar yer aldı.

Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru ve ZScaler dahil olmak üzere çok sayıda özel siber güvenlik şirketi kritik teknik yardım sağladı. ESET Research, özellikle kötü amaçlı yazılımın ve arka uç altyapısının teknik analizine katkıda bulundu ve DanaBot'un komuta ve kontrol sunucularını belirledi.

Alman yetkililer, 23 Mayıs 2025'ten itibaren AB'nin En Çok Arananlar listesine 18 şüpheli daha ekleyecek. Bu koordineli eylem, siber suç ağlarına büyük bir darbe indirerek, artan siber güvenlik tehditlerine karşı küresel ortaklıkların gücünü gösteriyor.

Operation Endgame , “fidye yazılımı öldürme zincirini” kırmayı amaçlıyor. Yetkililer şimdiye kadar Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot ve Warmcookie gibi ilk erişim kötü amaçlı yazılımlarını etkisiz hale getirdi.