Operation Endgame, nuovo colpo all’infrastruttura del cybercrime: disarticolati SocGholish, Amadey e StealC
Europol, insieme a partner pubblici e privati di tutto il mondo, ha annunciato il 24 giugno una nuova fase di Operation Endgame, l’iniziativa internazionale che colpisce le infrastrutture criminali a monte di ransomware e frodi. Nel mirino, questa volta, tre componenti molto usate dell’ecosistema malevolo: il loader SocGholish, il loader e botnet Amadey e l’infostealer StealC. Secondo la nota dell’agenzia, le azioni coordinate delle ultime due settimane hanno portato al sequestro di oltre 41 milioni di euro in criptovalute di origine criminale.
Conviene qualificare subito i bersagli, perché non si tratta di un gruppo ransomware. Amadey è un loader e una botnet usati per scaricare ulteriori payload; StealC è un infostealer che esfiltra credenziali, cookie e dati dei wallet; SocGholish è un loader distribuito tramite falsi aggiornamenti del browser su siti compromessi. Sono, in sostanza, le catene di montaggio che alimentano a valle estorsioni, frodi e attacchi alle infrastrutture: disarticolarle significa intervenire sull’accesso iniziale e sulla raccolta di credenziali, non sul singolo attore che cifra i file.
Un elemento rafforza questa lettura: secondo l’analisi assistita da AI di Microsoft, Amadey e StealC, pur sviluppati da gruppi distinti, condividevano parte dell’infrastruttura di comando e controllo, tanto da poter essere trattati come un’unica cospirazione in sede giudiziaria; ESET segnala però infrastrutture più decentralizzate, gestite dai singoli clienti, quindi il dato non va assolutizzato.
I numeri di Operation Endgame
L’azione è stata condotta da forze dell’ordine in coordinamento con partner privati, tra cui Microsoft, ESET, Bitsight, IBM X-Force e Proofpoint. Come riportato da The Hacker News e BleepingComputer, che riprendono la comunicazione di Europol, la settimana d’azione ha portato allo smantellamento complessivo di 326 server e 142 domini: la quota specifica di Amadey e StealC è di circa 50 domini e quasi 200 server di comando e controllo, mentre l’azione precedente su SocGholish aveva aggiunto 106 tra server e domini oltre ai circa 15.000 siti bonificati.
Sono state inoltre recuperate circa 27 milioni di credenziali rubate, di cui circa 25 milioni univoche, da oltre 385.000 sistemi compromessi. Conviene distinguere i due lotti sul fronte della notifica: per il precedente blocco legato a SocGholish le credenziali compromesse sono già state caricate su Have I Been Pwned, mentre per quest’ultimo lotto la confluenza nel servizio non è ancora confermata.
Sulla cifra in criptovalute conviene distinguere le formulazioni: il titolo del comunicato Europol parla di oltre 41 milioni di euro (circa 47 milioni di dollari) sequestrati, mentre nel corpo del testo gli stessi asset sono descritti come individuati, segnalati e congelati. È il medesimo importo nelle due valute, non due cifre separate; la cautela riguarda semmai lo stato giuridico degli asset, cioè congelamento e non confisca definitiva.
Alla stessa cornice si lega la bonifica, nei giorni immediatamente precedenti e con il contributo delle autorità di Paesi Bassi, Canada, Germania e Stati Uniti, di quasi 15.000 siti WordPress compromessi usati per distribuire SocGholish. È il versante meno appariscente ma più strutturale dell’operazione: togliere ai criminali i punti di iniezione su siti legittimi.
Perché conta per le aziende
Il valore strategico di un’azione come questa sta nel bersaglio: non l’anello finale della catena, ma i servizi condivisi che molti gruppi affittano per entrare nelle reti e rubare credenziali. Colpirli alza i costi operativi dell’intero ecosistema, come hanno mostrato le precedenti operazioni di contrasto e lo smantellamento dell’infostealer Lumma condotto circa un anno prima da Microsoft, Europol e dalle autorità statunitensi. Resta però la nota di realismo: l’ecosistema criminale è resiliente, la domanda di loader, infostealer e accessi non si esaurisce con un takedown, e le infrastrutture tendono a ricostituirsi. Per i difensori il messaggio operativo è concreto: dare priorità all’igiene delle credenziali, alla rotazione dei segreti potenzialmente esposti e al monitoraggio dei propri dati nei log degli stealer, perché 27 milioni di credenziali recuperate sono anche la misura di quanto materiale era già in circolazione.
