EUA neutralizam infraestrutura do malware DanaBot e processam 16 envolvidos em fraudes

O Departamento de Justiça dos Estados Unidos (DoJ) anunciou, na quinta-feira, a desarticulação da infraestrutura online do malware DanaBot, uma ferramenta controlada por uma organização criminosa sediada na Rússia, responsável por infectar mais de 300 mil computadores em todo o mundo e causar prejuízos estimados em pelo menos US$ 50 milhões. A operação, integrada à iniciativa multinacional Operação Endgame, resultou na apreensão de servidores de comando e controle (C2) do DanaBot, incluindo dezenas de servidores virtuais hospedados nos EUA, e na acusação formal de 16 indivíduos por seu envolvimento no desenvolvimento e distribuição do malware. Entre os acusados, dois russos, Aleksandr Stepanov, 39 anos, e Artem Aleksandrovich Kalinkin, 34 anos, ambos de Novosibirsk, estão foragidos.

O DanaBot, conhecido também como DanaTools, opera sob o modelo de malware como serviço (MaaS), sendo alugado por valores entre US$ 500 e alguns milhares de dólares mensais. Este malware multifuncional, semelhante a ameaças como Emotet, TrickBot e QakBot, é capaz de roubar dados sensíveis, como credenciais bancárias, históricos de navegação, informações de carteiras de criptomoedas, além de registrar teclas, capturar vídeos e oferecer controle remoto total dos dispositivos infectados. Desde sua estreia em maio de 2018, inicialmente como um trojan bancário, o DanaBot expandiu seu alcance, atacando instituições financeiras nos EUA e Canadá a partir de outubro de 2018, após focar em países como Ucrânia, Polônia e Austrália.

A denúncia criminal revelou um detalhe curioso: vários dos acusados, incluindo Kalinkin, expuseram suas identidades ao infectarem acidentalmente seus próprios sistemas com o DanaBot. Algumas dessas infecções foram intencionais, para testar ou aprimorar o malware, enquanto outras foram erros que resultaram no roubo de dados sensíveis dos próprios hackers, armazenados nos servidores do DanaBot. Essas falhas ajudaram as autoridades a identificar membros da organização criminosa. Se condenado, Kalinkin pode enfrentar até 72 anos de prisão, enquanto Stepanov enfrenta uma pena de até cinco anos por acusações que incluem conspiração, fraude bancária, roubo de identidade agravado, interceptação de comunicações e acesso não autorizado a computadores protegidos.

A operação também revelou que os operadores do DanaBot gerenciavam uma segunda versão do botnet, projetada especificamente para atacar computadores de entidades militares, diplomáticas e governamentais na América do Norte e Europa, com capacidades de gravação de interações em dispositivos e envio de dados para servidores distintos. Dados da Black Lotus Labs e Team Cymru indicam que o DanaBot utilizava uma infraestrutura de comunicação em camadas, com cinco a seis servidores de nível 2 ativos, e mantinha cerca de 150 servidores C2 de nível 1 por dia, afetando aproximadamente mil vítimas diárias em mais de 40 países, com forte concentração no Brasil, México e EUA.

Paralelamente, o DoJ anunciou acusações contra Rustam Rafailevich Gallyamo, um russo de 48 anos, por liderar o desenvolvimento do malware QakBot, desmantelado em agosto de 2023. Gallyamo, que continuou suas atividades criminosas utilizando táticas como ataques de “spam bomb” para distribuir ransomwares como Black Basta e CACTUS até janeiro de 2025, teve mais de US$ 24 milhões em criptomoedas confiscados. A operação contou com a colaboração de empresas como Amazon, CrowdStrike, ESET, Google e Proofpoint, destacando a importância da parceria entre setores público e privado no combate ao crime cibernético.

O DanaBot se destacou por sua evolução constante, com pelo menos 85 versões identificadas até março de 2025, focando em evasão de defesas e parcerias com outros malwares, como o Matanbuchus. Relatos apontam seu uso em ataques de negação de serviço (DDoS) contra alvos ucranianos em 2022 e em campanhas de espionagem contra oficiais governamentais no Oriente Médio e Europa Oriental. “Ações como essa impõem custos aos hackers, forçando-os a mudar táticas e gerando desconfiança no ecossistema criminoso”, afirmou Selena Larson, pesquisadora da Proofpoint, que nomeou o DanaBot em 2018. A operação é um marco no combate a plataformas MaaS, mas os especialistas alertam que os hackers continuarão a se adaptar, exigindo vigilância contínua.

Via - THN