Europol a anunțat o lovitură globală împotriva unor rețele malware folosite pentru infectarea calculatoarelor, furt de parole, fraude financiare și atacuri ransomware. Acțiunile coordonate în cadrul Operation Endgame au vizat SocGholish, Amadey și StealC, trei instrumente folosite de infractori pentru a pătrunde în sisteme, a fura date sensibile și a pregăti atacuri mai grave asupra companiilor, instituțiilor sau infrastructurilor critice.
Pe scurt
-
Europol anunță destructurarea unor componente-cheie ale rețelelor malware SocGholish, Amadey și StealC.
-
Operațiunea a vizat 326 de servere și 142 de domenii folosite în distribuirea sau operarea acestor instrumente.
-
Autoritățile au identificat și restricționat criptoactive de origine infracțională evaluate la peste 41 de milioane de euro.
-
În cadrul operațiunii au fost recuperate 27 de milioane de date de autentificare furate.
-
SocGholish, cunoscut și ca FakeUpdates, a infectat site-uri WordPress prin false actualizări de browser, iar utilizatorii WordPress sunt îndemnați să își schimbe parolele și să activeze autentificarea cu mai mulți factori.
Operațiunea a fost coordonată de Europol și Eurojust și a implicat autorități din Canada, Danemarca, Germania, Țările de Jos, Regatul Unit și Statele Unite, alături de Microsoft și alți parteneri privați. Scopul comun a fost întreruperea „liniilor de asamblare” pe care infractorii cibernetici le folosesc pentru ransomware, fraude financiare și atacuri asupra infrastructurilor critice.
Pentru un utilizator obișnuit, aceste rețele nu apar întotdeauna ca atacuri spectaculoase. Ele pot începe printr-un site compromis, o actualizare falsă de browser, un e-mail de phishing sau un fișier aparent legitim. Odată instalat, malware-ul poate deschide accesul către calculator, poate fura parole și date de autentificare sau poate permite instalarea unor programe mai periculoase.
SocGholish, cunoscut și sub numele FakeUpdates, a fost distribuit prin false actualizări de software, de exemplu pentru browsere de internet. Utilizatorul vede o notificare care pare legitimă, instalează presupusa actualizare, iar în realitate oferă atacatorilor o poartă de acces către sistem.
Potrivit Europol, SocGholish a fost folosit prin site-uri compromise, inclusiv site-uri obișnuite, precum restaurante, service-uri auto și alte servicii de zi cu zi. În cadrul operațiunii au fost remediate 14.971 de site-uri infectate. SocGholish este asociat cu gruparea rusă de criminalitate cibernetică Evil Corp, cunoscută anterior pentru malware precum Zeus și Dridex și pentru operațiuni ransomware și de spălare de bani.
Amadey este un program de tip dropper sau loader, adică un instrument care permite introducerea altor programe malițioase în sisteme compromise. Europol spune că acesta a fost răspândit mai ales prin campanii de phishing și putea servi ca prima verigă într-un lanț mai mare de atac.
StealC este un program conceput pentru furt de informații. El extrage parole, date de acces stocate și identități digitale de pe calculatoare compromise, pentru ca aceste informații să fie apoi folosite în fraude, vândute sau integrate în alte atacuri.
Aceste trei instrumente sunt relevante pentru că ilustrează modelul „criminalitate cibernetică drept serviciu”. În loc ca fiecare grupare să construiască de la zero propriul software, infractorii folosesc instrumente deja disponibile, oferite ca servicii altor atacatori. Astfel, accesul inițial, furtul de date și pregătirea unui atac ransomware pot fi cumpărate sau închiriate pe piața criminală.
Europol spune că acțiunile au vizat simultan părți importante ale infrastructurii tehnice. Au fost luate măsuri asupra a 326 de servere și 142 de domenii, ceea ce a afectat puternic rețeaua de distribuție a malware-ului. Prin lovirea simultană a mai multor componente, autoritățile au crescut costurile și dificultățile pentru infractori, reducând capacitatea acestora de a relansa rapid atacurile.
Microsoft a vizat în paralel Amadey și StealC, deoarece cele două au roluri interconectate. Amadey poate obține acces inițial la dispozitive, în timp ce StealC fură parole și date sensibile. Potrivit informațiilor colectate de Microsoft și citate de Europol, doar în primele două săptămâni din mai 2026, Amadey și StealC au fost legate de peste 140.000 de calculatoare infectate la nivel mondial.
Operațiunea a avut și o componentă financiară. Criptoactive de origine infracțională evaluate în prezent la peste 41 de milioane de euro, echivalentul a 47 de milioane de dolari, au fost identificate, semnalate și restricționate de la utilizare. În plus, 27 de milioane de date de autentificare furate au fost recuperate.
Pentru victime, recuperarea datelor de autentificare este importantă, dar nu rezolvă automat problema. Parolele furate pot fi folosite pentru conturi de e-mail, platforme de muncă, servicii financiare, rețele sociale sau acces la sisteme de companie. De aceea, schimbarea parolelor și activarea autentificării cu mai mulți factori rămân măsuri esențiale.
Autoritățile olandeze au eliminat deja vulnerabilități de pe site-uri infectate și au notificat proprietarii. Utilizatorii WordPress sunt îndemnați să își schimbe datele de autentificare, să activeze autentificarea cu mai mulți factori, să șteargă orice conturi WordPress necunoscute și să își mențină site-urile actualizate.
Europol avertizează și asupra actualizărilor false. Utilizatorii nu ar trebui să aibă încredere în ferestre pop-up apărute în browser, în actualizări care par urgente sau foarte spectaculoase ori în mesaje care arată legitim, dar nu provin din sursa oficială. O actualizare reală trebuie făcută prin setările sistemului, prin aplicația oficială sau prin magazinul de aplicații.
Europol a avut un rol central în operațiune prin coordonare operațională, schimb de informații în timp real și sprijin analitic și tehnic. Centrul European de Combatere a Criminalității Cibernetice, EC3, a oferit analize privind atribuirea, infrastructura și anchetele financiare, precum și informații pentru notificarea victimelor.
Experții Europol în urmărirea criptoactivelor au contribuit la identificarea fluxurilor financiare ilicite și a activelor. Europol a coordonat și strategiile de prevenire prin Joint Cybercrime Action Taskforce, pentru ca investigațiile naționale să fie aliniate într-un cadru comun.
Operation Endgame este descrisă de Europol drept cea mai mare operațiune internațională realizată vreodată împotriva facilitatorilor ransomware la nivel mondial. Ea implică autorități de aplicare a legii și judiciare din mai multe țări, precum și peste 30 de parteneri publici și privați care sprijină periodic acțiunile.
Diferența față de o operațiune clasică este că autoritățile nu au urmărit doar un grup de infractori sau un singur tip de malware. Ținta a fost lanțul care permite atacurilor să se răspândească: site-uri compromise, domenii, servere, instrumente de acces inițial, furt de date, infrastructură financiară și notificarea victimelor.
Mesajul Europol este că lupta împotriva ransomware nu poate fi purtată doar după ce victimele sunt șantajate. Pentru a reduce atacurile, autoritățile trebuie să lovească mai devreme, în infrastructura care permite infectarea inițială, furtul de parole și pregătirea extorcării digitale.