Operação Endgame derruba o malware DanaBot e neutraliza 300 servidores

Em uma grande operação internacional coordenada pela Europol e Eurojust, agências de segurança pública e parceiros do setor privado desmantelaram com sucesso a rede de malware DanaBot.

Esse esforço global, parte da Operação Endgame , resultou em acusações federais contra 16 indivíduos, na neutralização de aproximadamente 300 servidores e 650 domínios em todo o mundo entre 19 e 22 de maio de 2025 e na emissão de mandados de prisão internacionais para 20 alvos. Mais de € 21,2 milhões em criptomoedas também foram apreendidos durante a Operação Endgame, incluindo € 3,5 milhões durante esta última semana de ação.

O malware DanaBot, controlado por uma organização criminosa cibernética sediada na Rússia, infectou mais de 300.000 computadores em todo o mundo, causando danos estimados em pelo menos US$ 50 milhões por meio de fraude e ransomware. Entre os acusados ​​pelo Departamento de Justiça dos EUA (DoJ) estão Aleksandr Stepanov, de 39 anos, e Artem Aleksandrovich Kalinkin, de 34, ambos de Novosibirsk, Rússia, que continuam foragidos.

O DanaBot, identificado pela primeira vez em maio de 2018, operava como um malware como serviço (MaaS), alugando suas capacidades para outros criminosos. Era altamente versátil, roubando credenciais bancárias, histórico de navegação e até informações de carteiras de criptomoedas, além de oferecer acesso remoto, keylogging e gravação de tela. As infecções iniciais frequentemente vinham por meio de e-mails de spam. O Hackread.com notavelmente noticiou o surgimento do DanaBot em 2019, quando pesquisadores da Proofpoint detalharam sua disseminação pela primeira vez.

A ESET, que monitora cuidadosamente o DanaBot desde 2018, confirmou sua evolução para um dos principais malwares bancários, observando que países como Polônia, Itália, Espanha e Turquia estavam historicamente entre os mais visados.

O pesquisador da ESET Tomáš Procházka acrescentou : “Além de exfiltrar dados confidenciais, observamos que o Danabot também é usado para distribuir mais malware, que pode incluir ransomware, para um sistema já comprometido”.

Mais recentemente, uma nova versão do DanaBot foi encontrada escondida em chaves de software pirateadas para “VPN grátis, software antivírus e jogos pirateados”, enganando usuários que baixavam de sites falsos.

Além dos crimes financeiros, a investigação revelou o duplo propósito sinistro do DanaBot. Uma variante, rastreada pela CrowdStrike como SCULLY SPIDER, tinha como alvo entidades militares, diplomáticas e governamentais na América do Norte e na Europa para espionagem, e foi observada pela ESET lançando ataques DDoS contra alvos como o Ministério da Defesa da Ucrânia após a invasão russa.

De acordo com o comunicado de imprensa da Europol, esta operação em massa é uma evidência de ampla cooperação internacional. A investigação foi liderada pelo Escritório de Campo de Anchorage do FBI e pelo Serviço de Investigação Criminal de Defesa (DCIS), com assistência significativa do Bundeskriminalamt (BKA) da Alemanha, da Polícia Nacional dos Países Baixos e da Polícia Federal Australiana.

A Europol e a Eurojust forneceram uma coordenação crucial, com um posto de comando na sede da Europol envolvendo investigadores do Canadá, Dinamarca, França, Alemanha, Holanda, Reino Unido e EUA.

Diversas empresas privadas de segurança cibernética forneceram assistência técnica essencial, incluindo Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru e ZScaler. A ESET Research contribuiu especificamente com a análise técnica do malware e sua infraestrutura de back-end, além da identificação dos servidores de comando e controle do DanaBot.

As autoridades alemãs adicionarão 18 suspeitos à lista dos mais procurados da UE a partir de 23 de maio de 2025. Essa ação coordenada é um grande golpe para as redes de criminosos cibernéticos, mostrando o poder das parcerias globais contra as crescentes ameaças à segurança cibernética.

A Operação Endgame tem como objetivo quebrar a "cadeia de destruição do ransomware". Até agora, as autoridades neutralizaram malwares de acesso inicial como Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot e Warmcookie .