Uma operação internacional com o codinome Synergia derrubou mais de 1.300 servidores de comando e controle usados para crimes cibernéticos em campanhas de ransomware, phishing e malware. A Interpol derrubou esses servidores usados para fazer milhares de vítimas.
Servidores de comando e controle
Servidores de comando e controle (C2) são dispositivos operados por agentes de ameaças para controlar malware usado em seus ataques e para coletar informações enviadas de dispositivos infectados. Esses servidores permitem que os agentes da ameaça enviem cargas ou comandos adicionais para execução em dispositivos infectados, tornando-os uma arquitetura integral em muitos ataques.
Para alguns malwares, colocar um servidor de comando e controle off-line evita outras atividades maliciosas, pois os agentes da ameaça não podem enviar ou receber dados dos dispositivos infectados.
A operação
A operação Synergia identificou e desativou servidores de comando e controle entre setembro e novembro de 2023, com 60 agências de aplicação da lei de 55 países participando da operação Como resultado desta ação, a polícia identificou 1.300 endereços IP de servidores C2 ligados a campanhas de ransomware, malware e phishing.
A Interpol afirma que cerca de 70% dos servidores de comando e controle (C2) identificados durante a operação foram desativados, constituindo uma interrupção significativa para os cibercriminosos. A maioria desses servidores estava localizada na Europa, enquanto um número notável também foi encontrado em Singapura e Hong Kong. Em África, a maior parte da atividade ocorreu no Sudão do Sul e no Zimbabué, e nas Américas, operações de malware foram encontradas e desmanteladas na Bolívia.
Além disso, como resultado do Synergia, as autoridades responsáveis pela aplicação da lei detiveram 31 indivíduos que se acredita estarem ligados a operações de crimes cibernéticos e identificaram outros 70 suspeitos. As autoridades também realizaram 30 buscas domiciliárias e confiscaram itens que podem ajudar nas investigações subsequentes.
A empresa de inteligência cibernética Group-IB, que participou da operação alimentando as investigações com dados cruciais, relata que desta vez foram identificados mais de 1.900 endereços IP associados a operações de ransomware, trojans bancários e malware.
O Group-IB disse que os 30% restantes dos servidores que ainda não foram colocados offline estão atualmente sob investigação por seu papel em operações de crimes cibernéticos. Outros parceiros de ciberinteligência que participaram do Synergia são Kaspersky, Trend Micro, Shadowserver e Team Cymru.
A desativação de servidores C2 é um passo significativo para interromper as atividades do crime cibernético, pois são componentes cruciais em operações de botnets, exfiltração de dados, busca de carga útil, coordenação de ataques, execução remota de comandos e muito mais.
Além disso, a apreensão de servidores pode muitas vezes ajudar a reunir informações que podem ser fundamentais na continuação das investigações sobre operações específicas de crimes cibernéticos. No entanto, as quedas de C2 nem sempre são eficazes. Por exemplo, botnets ponto a ponto projetados para serem resilientes podem se recuperar rapidamente de tais interrupções, enquanto os agentes de ransomware podem passar a usar domínios e servidores de backup, lembra o Bleeping Computer.
