Het Amerikaanse ministerie van Justitie (DOJ) heeft donderdag de verstoring van de online infrastructuur aangekondigd geassocieerd met Danabot (aka Danatools) en ontgrendelde aanklachten tegen 16 personen wegens hun vermeende betrokkenheid bij de ontwikkeling en inzet van de malware, waarvan het zei dat het werd gecontroleerd door een in Rusland gevestigde cybercrime-organisatie.
De malware, zei de DOJ, besmet meer dan 300.000 slachtoffercomputers over de hele wereld, vergemakkelijkte fraude en ransomware en veroorzaakten minimaal $ 50 miljoen schadevergoeding. Twee van de beklaagden, Aleksandr Stepanov (aka Jimmbee), 39, en Artem Aleksandrovich Kalinkin (AKA Onix), 34, beide uit Novosibirsk, Rusland, zijn momenteel in het algemeen.
Stepanov is beschuldigd van samenzwering, samenzwering om draadfraude en bankfraude, verergerde identiteitsdiefstal, ongeautoriseerde toegang tot een beschermde computer te plegen om informatie te verkrijgen, ongeautoriseerde beperkingen van een beschermde computer, aftappen en gebruik van een onderschepte communicatie. Kalinkin is belast met samenzwering om ongeautoriseerde toegang tot een computer te krijgen om informatie te verkrijgen, om ongeautoriseerde toegang tot een computer te verkrijgen om te bedriegen en om ongeoorloofde beperking van een beschermde computer te plegen.
De niet-afgesloten criminele klacht en aanklacht tonen aan dat veel van de beklaagden, die Kalinkin tellen, hun real-life identiteiten hebben blootgelegd nadat ze per ongeluk hun eigen systemen met de malware hebben geïnfecteerd.
“In sommige gevallen leken dergelijke zelfinfecties opzettelijk te worden gedaan om de malware te testen, te analyseren of te verbeteren”, aldus de klacht (PDF). “In andere gevallen leken de infecties onbedoeld te zijn – een van de gevaren van het plegen van cybercriminaliteit is dat criminelen zich soms per ongeluk met hun eigen malware zullen infecteren.”
“De onbedoelde infecties resulteerden vaak in gevoelige en compromitterende gegevens die werden gestolen uit de computer van de acteur door de malware en opgeslagen op de Danabot -servers, inclusief gegevens die hielpen bij het identificeren van leden van de Danabot -organisatie.”
Indien veroordeeld, wordt verwacht dat Kalinkin wordt geconfronteerd met een wettelijke maximale straf van 72 jaar in de federale gevangenis. Stepanov zou een gevangenisstraf van vijf jaar krijgen. Gelijktijdig met de actie, zag de wetshandhavingsinspanningen, uitgevoerd als onderdeel van Operation Endgame, de command-and-control (C2) servers van Danabot in beslag genomen, inclusief tientallen virtuele servers gehost in de Verenigde Staten.
“Danabot Malware gebruikte verschillende methoden om slachtoffercomputers te infecteren, waaronder spam -e -mailberichten met kwaadaardige bijlagen of hyperlinks,” zei de DOJ. “Slachtoffercomputers geïnfecteerd met Danabot Malware werden onderdeel van een botnet (een netwerk van gecompromitteerde computers), waardoor de operators en gebruikers van het botnet de geïnfecteerde computers op afstand op een gecoördineerde manier kunnen besturen.”
Danabot is, net als de onlangs ontmantelde Lumma Stealer Malware, actief onder een Malware-as-a-Service (MAAS) -schema, waarbij de beheerders toegang hebben van $ 500 tot “enkele duizenden dollars” per maand. Opgevolgd onder de Monikers Scully Spider en Storm-1044, is een multifunctioneel hulpmiddel in de trant van Emotet, Trickbot, Qakbot en Icedid die in staat is te fungeren als een stealer en een bezorgvector voor de volgende fase payloads, zoals ransomware.
De op Delphi gebaseerde modulaire malware is uitgerust met siphon-gegevens van slachtoffercomputers, kaping sessies van kaap bankieren en steel apparaatinformatie, door gebruikers bladeren geschiedenissen, opgeslagen accountreferenties en virtuele valuta-portemonnee-informatie. Het kan ook volledige externe toegang bieden, logtakels en video’s vastleggen. Het is actief in het wild sinds het debuut in mei 2018, toen het begon als een banketrojan.
“Danabot richtte zich aanvankelijk op slachtoffers in Oekraïne, Polen, Italië, Duitsland, Oostenrijk en Australië voordat hij zijn targetinghouding uitbreidde om in oktober 2018 in het Amerikaanse en Canada gevestigde financiële instellingen te omvatten,” zei Crowdstrike. “De populariteit van de malware groeide vanwege de vroege modulaire ontwikkeling ter ondersteuning van Zeus-gebaseerde webinjecties, informatie-stealer-mogelijkheden, toetsaanslaglogging, schermopname en verborgen virtuele netwerkcomputing (HVNC) -functionaliteit.”
Volgens Black Lotus Labs en Team Cymru gebruikt Danabot een gelaagde communicatie -infrastructuur tussen een slachtoffer en de BOTNET -controllers, waarbij het C2 -verkeer door twee of drie serverlagen wordt geproduceerd voordat het het uiteindelijke niveau bereikt. Ten minste vijf tot zes Tier-2-servers waren op elk moment actief. De meerderheid van de Danabot -slachtoffers zijn geconcentreerd rond Brazilië, Mexico en de Verenigde Staten.
“De operators hebben hun toewijding aan hun vak getoond, aangepast aan detectie en veranderingen in de verdediging van de ondernemingen, en met latere iteraties, het isoleren van de C2’s in niveaus om het volgen te verdoezelen,” zeiden de bedrijven. “Gedurende deze tijd hebben ze de bot gebruiksvriendelijker gemaakt met gestructureerde prijzen en klantenondersteuning.”
De DOJ zei dat Danabot -beheerders een tweede versie van het botnet exploiteerden die speciaal was ontworpen om te targeten voor slachtoffercomputers in militaire, diplomatieke, regering en gerelateerde entiteiten in Noord -Amerika en Europa. Deze variant, die in januari 2021 opduikt, kwam met mogelijkheden om alle interacties op een slachtofferapparaat op te nemen en de gegevens naar een andere server te sturen.
“Poord malware zoals Danabot schaadt honderdduizenden slachtoffers over de hele wereld, waaronder gevoelige militaire, diplomatieke en overheidsentiteiten, en veroorzaakt vele miljoenen dollars aan verliezen”, aldus de Amerikaanse advocaat Bill Essayli voor het centrale district van Californië.
De DOJ heeft verschillende particuliere sectorbedrijven, Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint, Spycloud, Team Cymru en ZScaler, verder gecrediteerd voor het bieden van “waardevolle hulp”.
Sommige van de opmerkelijke aspecten van Danabot, samengesteld uit verschillende rapporten, zijn hieronder –
- Danabot’s Sub-Botnet 5 ontving commando’s om een op Delphi gebaseerde uitvoerbare leveraged te downloaden om op HTTP gebaseerde gedistribueerde Denial-of-Service (DDOS) -aanvallen uit te voeren tegen het Oekraïense ministerie van Defensie (MOD) WebMail Server en de National Security and Defense and Defense Council (NSDC) van Oekraïne, kort na Rush.
- Twee Danabot-subbotnetten, 24 en 25, werden specifiek gebruikt voor spionagedoeleinden waarschijnlijk met als doel om activiteiten te verzamelen die activiteiten voor het verzamelen van inlichtingen namens Russische overheidsbezichten verder
- De operators van Danabot hebben hun aanbod sinds 2022 periodiek geherstructureerd om zich te concentreren op de ontwikkeling van de defensie, met ten minste 85 verschillende buildnummers die tot nu toe worden geïdentificeerd (de meest recente versie is 4006, die in maart 2025 werd samengesteld)
- De infrastructuur van de malware bestaat uit meerdere componenten: een “bot” die doelsystemen infecteert en gegevensverzameling uitvoert, een “onlineserver” die de functionaliteiten van de ratten beheert, een “client” voor het verwerken
- Danabot is gebruikt bij gerichte spionageaanvallen tegen overheidsfunctionarissen in het Midden -Oosten en Oost -Europa
- De auteurs van Danabot werken als een enkele groep en bieden de malware die te huur is aan potentiële gelieerde ondernemingen, die het vervolgens gebruiken voor hun eigen kwaadaardige doeleinden door hun eigen botnets op te zetten en te beheren met particuliere servers
- De ontwikkelaars van Danabot werken samen met de auteurs van verschillende malware -cryptors en laders, zoals Matanbuchus, en boden speciale prijzen voor distributiebundels
- Danabot handhaafde gemiddeld 150 actieve Tier-1 C2-servers per dag, met ongeveer 1.000 dagelijkse slachtoffers in meer dan 40 landen, waardoor het een van de grootste MAAS-platforms actief is in 2025
Proofpoint, dat in mei 2018 voor het eerst Danabot heeft geïdentificeerd en genoemd, zei dat de verstoring van de MAAS -operatie een overwinning is voor verdedigers en dat het een impact zal hebben op het landschap van de cybercriminale dreiging.
“Cybercriminale verstoringen en wetshandhavingsacties beïnvloeden niet alleen de malwarefunctionaliteit en het gebruik, maar legt ook kosten op aan dreigingsactoren door hen te dwingen hun tactiek te veranderen, wantelust in het criminele ecosysteem te veroorzaken en mogelijk criminelen te laten denken over het vinden van een andere carrière,” Selena Larson, een personeelsonderzoekersonderzoeker, zei.
“Deze successen tegen cybercriminelen komen alleen tot stand wanneer bedrijven IT-teams en beveiligingsserviceproviders het broodnodige inzicht delen in de grootste bedreigingen voor de samenleving, wat het grootste aantal mensen over de hele wereld beïnvloedt, waarvan de wetshandhaving kan gebruiken om de servers op te sporen, infrastructuur en criminele organisaties achter de aanvallen. Privé en publieke sector is een cruciaal om te weten hoe actoren worden geactiveerd en actie tegen hen ondernemen.”
DOJ ontslaat de aanklacht tegen Qakbot -leider
De ontwikkeling komt als de DOJ-afgevallen aanklachten tegen een 48-jarige inwoner van Moskou, Rustam Rafailevich Gallyamo, voor leidende inspanningen om de Qakbot-malware te ontwikkelen en te onderhouden, die in augustus 2023 werd verstoord in een multinationale operatie in de loop van het onderzoek.
“Gallyamov heeft de Qakbot -malware vanaf 2008 ontwikkeld, geïmplementeerd en gecontroleerd,” zei de DOJ. “Vanaf 2019 zou Gallyamov de Qakbot -malware hebben gebruikt om duizenden slachtoffercomputers over de hele wereld te infecteren om een netwerk of ‘botnet’ op te zetten van geïnfecteerde computers.”
De DOJ onthulde dat, na de takedown, Gallyamov en zijn mede-samenzweerders hun criminele activiteiten voortzetten door over te schakelen naar andere tactieken zoals “spambom” -aanvallen om ongeoorloofde toegang tot slachtoffernetwerken te krijgen en ransomware-families zoals Black Basta en Cactus te implementeren. Gerechtelijke documenten beschuldigen de e-crime-groep van deelname aan deze methoden al in januari 2025.
“Het BOT -netwerk van de heer Gallyamov werd verlamd door de getalenteerde mannen en vrouwen van de FBI en onze internationale partners in 2023, maar hij bleef brutaal alternatieve methoden inzetten om zijn malware beschikbaar te stellen aan criminele cyberbendes die ransomware -aanvallen uitvoeren tegen onschuldige slachtoffers,” zei Assistant Director in Akil Davis van het FBI’s Los Angels Field Office.
