Il malware-as-a-service (MaaS) noto come Danabot è stato protagonista di Operation Endgame, una delle più significative operazioni di contrasto al cybercrime degli ultimi anni, coordinata dallo U.S. Department of Justice, dall’FBI e dallo U.S. Department of Defense’s Defense Criminal Investigative Service, con il supporto di Europol ed Eurojust. All’operazione hanno partecipato numerose agenzie di polizia e partner privati, tra cui Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel471, PayPal, Proofpoint, Team Cymru e Zscaler.

L’attenzione era giustificata, dato che Danabot è una vera e propria piattaforma criminale utilizzata da gruppi di eCrime e, in alcuni casi, anche da attori statali, per attività che spaziano dal furto di dati all’infiltrazione di ransomware, fino all’esecuzione di attacchi DDoS.

Danabot è attivo dal 2018 e nel corso degli anni ha subìto una costante evoluzione. Nato come trojan bancario, si è trasformato in una piattaforma modulare, offerta a noleggio a diversi gruppi criminali, che la utilizzano per gestire botnet autonome. Il modello di business è chiaro: gli sviluppatori forniscono il malware agli affiliati, che a loro volta lo personalizzano e lo diffondono attraverso campagne sempre più sofisticate.

Le funzionalità di Danabot sono molteplici e avanzate: include il furto di dati da browser, client email e FTP, keylogging, screen recording, controllo remoto in tempo reale dei sistemi infetti, file grabbing (spesso mirato ai wallet di criptovalute), supporto a webinject in stile Zeus e form grabbing, oltre alla possibilità di caricare ed eseguire payload scelti dall’attaccante. È proprio questa versatilità a rendere Danabot appetibile per i cyber criminali.

Le detection di Danabot

Una storia di successo

Danabot ha infettato oltre 300.000 computer in tutto il mondo, causando danni stimati in almeno 50 milioni di dollari. Tra i paesi più colpiti figurano Polonia, Italia, Spagna e Turchia. In Italia, in particolare, il malware è stato utilizzato in campagne mirate contro le aziende, sfruttando anche il nome dell’Agenzia delle Entrate per indurre le vittime a scaricare file malevoli.

Le campagne di distribuzione sono diventate sempre più sofisticate: oltre ai classici attacchi via email, sono stati documentati casi di abuso di Google Ads, con link sponsorizzati apparentemente legittimi che puntano invece a siti fraudolenti. Altre tecniche includono pacchetti software falsi e siti che promettono il recupero di fondi non reclamati.

Danabot ha anche legami con l’intelligence russa. CrowdStrike, che ha identificato il gruppo dietro a Danabot con il nome SCULLY SPIDER, ha evidenziato come questo avversario abbia operato con apparente impunità dalla Russia, conducendo campagne dirompenti e riuscendo a evitare qualsiasi azione da parte delle autorità locali. Questa sovrapposizione tra crimine informatico e operazioni sponsorizzate dallo Stato rende Danabot un caso emblematico della complessità del panorama delle minacce attuali, in cui i confini tra eCrime e cyberwarfare sono sempre più labili.

L’operazione internazionale

Come accennato sopra, sono stati molti i vendor che hanno contribuito attivamente all’operazione internazionale contro Danabot. ESET ha messo a disposizione l’analisi tecnica del malware e la sua infrastruttura di backend e ha concorso alla identificazione dei server di comando e controllo. Proofpoint e CrowdStrike hanno supportato le Forze dell’Ordine con intelligence sulle minacce, analisi delle infrastrutture e approfondimenti sulle operazioni tecniche del gruppo.

Selena Larson, Staff Threat Researcher di Proofpoint, sottolinea: “L’interruzione di Danabot, nell’ambito di Operation Endgame in corso, rappresenta una vittoria fantastica per i difensori e avrà un impatto significativo sul panorama delle minacce cyber. Il blocco delle attività criminali e le azioni delle forze dell’ordine non solo compromettono la funzionalità e l’utilizzo del malware, ma impongono anche costi agli autori delle minacce, costringendoli a cambiare strategia, generando sfiducia nell’ecosistema criminale e spingendoli potenzialmente a riconsiderare la loro attività”.

Adam Meyers, Head of Counter Adversary Operations di CrowdStrike, aggiunge: “DanaBot è una piattaforma malware-as-a-service prolifica nell’ecosistema eCrime, e il suo utilizzo da parte di attori legati alla Russia per attività di spionaggio offusca i confini tra il crimine informatico russo e le operazioni cyber sponsorizzate dallo Stato. Sequestri di questo tipo sono fondamentali per aumentare il costo delle operazioni per gli avversari”.

L’operazione internazionale ha portato allo smantellamento delle infrastrutture critiche utilizzate per la diffusione di ransomware tramite Danabot e all’identificazione di diversi individui coinvolti nello sviluppo, nella vendita e nella gestione del malware. Secondo ESET, “non è ancora chiaro se Danabot riuscirà a riprendersi da questo colpo. L’operazione ha comunque inflitto un danno sostanziale, portando allo smascheramento di diversi soggetti coinvolti nelle sue attività”.

La collaborazione tra settore pubblico e privato si è rivelata fondamentale per il successo dell’operazione. Come sottolinea Proofpoint, “questi successi contro i criminali informatici si ottengono solo quando team IT aziendali e fornitori di servizi di sicurezza condividono informazioni preziose sulle minacce principali che colpiscono un vasto numero di persone nel mondo, dati che le forze dell’ordine possono utilizzare per rintracciare server, infrastrutture e organizzazioni criminali che si celano dietro gli attacchi”.