Uluslararası bir kolluk operasyonu, binlerce virüslü web sitesini kullanarak kötü amaçlı yazılım yayan büyük bir siber suç ağını çökertti. SocGholish kötü amaçlı yazılım grubuna karşı yürütülen bu eylem, küresel çapta ransomware ve siber suçlarla mücadele eden devam eden bir polis soruşturması olan Operasyon Endgame'in en son parçasını oluşturdu.
Hollanda polisi tarafından 18 Haziran'da duyurulan operasyonda, SocGholish grubu tarafından kontrol edilen 15.000 web sitesinin enfeksiyonları temizlendi ve grupla bağlantılı botnet dağıtıldı. Özellikle, SocGholish botneti, dünya çapında hükümetlere, sağlık kurumlarına ve işletmelere yönelik yıkıcı kötü amaçlı yazılım saldırılarından sorumlu, Rusya merkezli kötü şöhretli ransomware ve siber suç grubu Evil Corp tarafından düzenli olarak kullanılıyordu.
SocGholish, meşru WordPress sitelerine erişmek için hacklenmiş veya daha önce sızdırılmış kimlik bilgilerini kullandı. Proofpoint'in TA569 olarak takip ettiği bu ele geçirilmiş web siteleri, ziyaretçilere güncel olmayan yazılım kullandıklarını ve güncelleme yapmaları gerektiğini söyleyen kötü amaçlı açılır pencereler gösteriyordu. Kullanıcı 'güncellemeyi' yüklediğinde kötü amaçlı yazılım bulaşıyor ve daha fazla kurbana kötü amaçlı yazılım ve ransomware dağıtmak için kullanılan SocGholish botnetine dahil ediliyordu.
Nasıl Önlem Alınmalı?
Operasyon kapsamında, SocGholish ile ilişkili 106 sunucu ve alan adı ele geçirilirken, ele geçirilen web sitelerinin enfeksiyonları temizlendi. Hollanda Ulusal Yüksek Teknoloji Suç Birimi'nden (NHCTU) Maikel Rollman, 'Bu eylemlerle siber suçluların virüslü bilgisayar sistemlerine erişimini engelliyoruz. Bu, dünya çapındaki vatandaşların, işletmelerin ve kuruluşların dijital sistemlerine daha fazla zarar verilmesini önlüyor ve kötü amaçlı yazılımların yayılmasını sınırlıyor' dedi. Koordineli eylem, NHCTU, Kanada Kraliyet Atlı Polisi (RCMP), Alman Federal Kriminal Polis Ofisi (BKA) ve ABD Federal Soruşturma Bürosu (FBI) uzmanları tarafından gerçekleştirildi.