Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ανακοίνωσε πριν από μερικές ημέρες την κατάσχεση της διαδικτυακής υποδομής που χρησιμοποιήθηκε για την πώληση του Warzone RAT.
Το domain www.warzone[.]ws και άλλα τρία “χρησιμοποιήθηκαν για την πώληση κακόβουλου λογισμικού που χρησιμοποιούνταν από εγκληματίες του κυβερνοχώρου για κρυφή πρόσβαση και κλοπή δεδομένων από τους υπολογιστές των θυμάτων“, δήλωσε το DoJ.
Επιπλέον, οι αρχές συνέλαβαν δύο άτομα στη Μάλτα και τη Νιγηρία, που πιστεύεται ότι συμμετείχαν στην πώληση και την υποστήριξη του κακόβουλου λογισμικού. Επίσης, λέγεται ότι βοηθούσαν άλλους κυβερνοεγκληματίες να χρησιμοποιήσουν το RAT.
Δείτε επίσης: Οι αρχές κατέσχεσαν 50.000 Bitcoin από τον χειριστή του παλιού πειρατικού site movie2k
Οι δύο συλληφθέντες είναι οι Daniel Meli (27) και Prince Onyeoziri Odinakachi (31) και κατηγορούνται για μη εξουσιοδοτημένη βλάβη σε προστατευμένους υπολογιστές, με τον πρώτο να κατηγορείται επίσης για “παράνομη πώληση και διαφήμιση ηλεκτρονικής συσκευής παρακολούθησης και συμμετοχή σε συνωμοσία για διάπραξη πολλών αδικημάτων που σχετίζονται με υπολογιστές“.
Η έρευνα έχει δείξει ότι ο Meli ασχολούνταν με την προσφορά υπηρεσιών κακόβουλου λογισμικού τουλάχιστον από το 2012. Πριν από το Warzone RAT, είχε πουλήσει ένα άλλο RAT γνωστό ως Pegasus RAT.
Όσον αφορά στον Odinakachi, παρείχε επίσης υποστήριξη σε αγοραστές του κακόβουλου λογισμικού Warzone RAT μεταξύ Ιουνίου 2019 και Μαρτίου 2023. Και τα δύο άτομα συνελήφθησαν στις 7 Φεβρουαρίου 2024.
Το Warzone RAT malware, γνωστό και ως Ave Maria, εντοπίστηκε πρώτη φορά στα πλαίσια μιας κυβερνοεπίθεσης που στόχευε έναν ιταλικό οργανισμό στον τομέα του πετρελαίου και του φυσικού αερίου προς τα τέλη του 2018. Τότε είχαν χρησιμοποιηθεί phishing emails με πλαστά αρχεία Microsoft Excel που εκμεταλλεύονταν μια γνωστή ευπάθεια στο Equation Editor (CVE-2017-11882).
Δείτε επίσης: Grandoreiro Banking Trojan: Οι αρχές της Βραζιλίας συνέλλαβαν τους υπευθύνους
Το Warzone RAT πωλείται ως malware-as-a-service (Maas) για 38 $ το μήνα (ή 196 $ για ένα χρόνο) και λειτουργεί ως info-stealer (malware κλοπής πληροφοριών), ενώ διευκολύνει και τον απομακρυσμένο έλεγχο, επιτρέποντας έτσι στους παράγοντες απειλών να ελέγχουν τους μολυσμένους υπολογιστές για συνεχή εκμετάλλευση.
Το RAT μπορεί να εξερευνά τα file systems των θυμάτων, να τραβά screenshots, ναα παρακολουθεί πληκτρολογήσεις, να κλέβει credentials και να ενεργοποιεί τη webcam του υπολογιστή χωρίς τη γνώση ή τη συγκατάθεση του θύματος.
Σε έναν από τους πλέον καταργημένους ιστότοπους, οι προγραμματιστές του κακόβουλου λογισμικού το περιέγραψαν ως αξιόπιστο και εύκολο στη χρήση. Παρείχαν επίσης τη δυνατότητα στους πελάτες να επικοινωνούν μαζί τους μέσω email (solmyr@warzone[.]ws), Telegram (@solwz και @sammysamwarzone), Skype (vuln.hf), καθώς και μέσω μιας ειδικής “περιοχής πελατών”. Επίσης, επικοινωνία μπορούσε να γίνει και μέσω Discord (με το λογαριασμό ID Meli#4472). Ένας άλλος λογαριασμός Telegram που συνδέεται με τον Meli ήταν ο @daniel96420.
Το Υπουργείο Δικαιοσύνης είπε ότι το FBI αγόρασε κρυφά αντίγραφα του Warzone RAT και επιβεβαίωσε τις λειτουργίες του. Η συντονισμένη επιχείρηση κατάργησης της υποδομής και σύλληψης των δύο ατόμων περιελάμβανε βοήθεια από αρχές επιβολής του νόμου στην Αυστραλία, τον Καναδά, την Κροατία, τη Φινλανδία, τη Γερμανία, την Ιαπωνία, τη Μάλτα, τις Κάτω Χώρες, τη Νιγηρία, τη Ρουμανία και την Europol.
Δείτε επίσης: Οι αρχές έκλεισαν τη dark web αγορά Kingdom Market
Η επιχείρηση των αρχών επηρεάζει την κυβερνοασφάλεια γενικά, καθώς αποτελεί ένα σημαντικό βήμα στην καταπολέμηση του κυβερνοεγκλήματος. Με την κατάσχεση της υποδομής του Warzone RAT και τη σύλληψη των κύριων δραστών, επιδεικνύεται η αποφασιστικότητα και η ικανότητα των αρχών να αντιμετωπίζουν τέτοιου είδους απειλές.
Αυτή η επιχείρηση βοηθά επίσης στην αύξηση της επίγνωσης για την κυβερνοασφάλεια. Η επιτυχής αντιμετώπιση του Warzone RAT αποτελεί ένα παράδειγμα που δείχνει τη σημασία της προστασίας των ψηφιακών υποδομών και της προστασίας των προσωπικών δεδομένων.
Επιπλέον, η επιχείρηση μπορεί να αποτελέσει αποτρεπτικό παράγοντα για τους κυβερνοεγκληματίες. Η αποκάλυψη και η καταστολή τέτοιων δραστηριοτήτων μπορεί να αποθαρρύνει άλλους που ενδέχεται να σκέφτονται να ακολουθήσουν παρόμοιες ενέργειες.
Τέλος, ενισχύεται η εμπιστοσύνη του κοινού στις αρχές. Αυτό είναι ζωτικής σημασίας για την ενίσχυση της συνολικής ασφάλειας του κυβερνοχώρου.
Πηγή: thehackernews.com