Operation Endgame elimina il malware DanaBot e neutralizza 300 server

In una grande operazione internazionale coordinata da Europol ed Eurojust, le forze dell'ordine e i partner del settore privato sono riusciti a smantellare la rete di malware DanaBot.

Questa iniziativa globale, parte dell'Operazione Endgame in corso, ha portato all'incriminazione federale di 16 individui, alla neutralizzazione di circa 300 server e 650 domini in tutto il mondo tra il 19 e il 22 maggio 2025 e all'emissione di mandati di arresto internazionali per 20 obiettivi. Oltre 21,2 milioni di euro in criptovalute sono stati sequestrati complessivamente durante l'Operazione Endgame, di cui 3,5 milioni di euro durante quest'ultima settimana di azioni.

Il malware DanaBot, controllato da un'organizzazione criminale informatica con sede in Russia, ha infettato oltre 300.000 computer in tutto il mondo, causando danni stimati per almeno 50 milioni di dollari attraverso frodi e ransomware. Tra gli incriminati dal Dipartimento di Giustizia degli Stati Uniti (DoJ) ci sono Aleksandr Stepanov, 39 anni, e Artem Aleksandrovich Kalinkin, 34 anni, entrambi di Novosibirsk, in Russia, ancora latitanti.

DanaBot, identificato per la prima volta nel maggio 2018, operava come malware-as-a-service (MaaS), cedendo le sue capacità ad altri criminali. Era estremamente versatile, rubando credenziali bancarie, cronologia di navigazione e persino informazioni sui wallet di criptovalute, offrendo anche accesso remoto, keylogging e registrazione dello schermo. Le infezioni iniziali spesso avvenivano tramite email di spam. Hackread.com ha segnalato la comparsa di DanaBot nel 2019, quando i ricercatori di Proofpoint ne hanno descritto per la prima volta la diffusione.

ESET, che monitora attentamente DanaBot dal 2018, ha confermato la sua evoluzione in uno dei principali malware bancari, rilevando che Paesi come Polonia, Italia, Spagna e Turchia sono stati storicamente tra i più presi di mira.

Tomáš Procházka, ricercatore di ESET, ha aggiunto : "Oltre a esfiltrare dati sensibili, abbiamo osservato che Danabot viene utilizzato anche per distribuire altro malware, tra cui ransomware, a un sistema già compromesso".

Più di recente, è stata trovata una nuova versione di DanaBot nascosta in chiavi software piratate per "software VPN gratuiti, antivirus e giochi piratati", che inganna gli utenti facendoli scaricare da siti fasulli.

Oltre ai reati finanziari, l'indagine ha rivelato il sinistro duplice scopo di DanaBot. Una variante, identificata da CrowdStrike come SCULLY SPIDER, prendeva di mira entità militari, diplomatiche e governative in Nord America ed Europa per scopi di spionaggio, ed è stata osservata da ESET mentre lanciava attacchi DDoS contro obiettivi come il Ministero della Difesa ucraino dopo l'invasione russa.

Secondo il comunicato stampa dell'Europol, questa massiccia operazione di repressione è la prova di un'ampia cooperazione internazionale. L'indagine è stata guidata dall'ufficio di Anchorage dell'FBI e dal Servizio Investigativo Criminale della Difesa (DCIS), con il significativo supporto del Bundeskriminalamt (BKA) tedesco, della Polizia Nazionale olandese e della Polizia Federale australiana.

Europol ed Eurojust hanno garantito un coordinamento fondamentale, con un posto di comando presso la sede centrale di Europol a cui hanno partecipato investigatori provenienti da Canada, Danimarca, Francia, Germania, Paesi Bassi, Regno Unito e Stati Uniti.

Numerose aziende private di sicurezza informatica hanno fornito assistenza tecnica fondamentale, tra cui Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru e ZScaler. ESET Research ha contribuito specificamente all'analisi tecnica del malware e della sua infrastruttura back-end, oltre all'identificazione dei server di comando e controllo di DanaBot.

Le autorità tedesche aggiungeranno 18 sospettati alla lista dei più ricercati dell'UE a partire dal 23 maggio 2025. Questa azione coordinata rappresenta un duro colpo per le reti della criminalità informatica, dimostrando la forza delle partnership globali contro le crescenti minacce alla sicurezza informatica.

L'operazione Endgame mira a interrompere la "catena di morte dei ransomware". Finora le autorità hanno neutralizzato malware di accesso iniziale come Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot e Warmcookie .