Il 23 maggio 2025, il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato lo smantellamento dell’infrastruttura online associata a DanaBot, un malware sofisticato noto anche come DanaTools. Contestualmente, sono state rese pubbliche le accuse contro 16 individui per il loro presunto coinvolgimento nello sviluppo e nella diffusione del malware, controllato da un’organizzazione cybercriminale con base in Russia.
DanaBot ha infettato oltre 300.000 computer in tutto il mondo, facilitando frodi, attacchi ransomware e causando danni stimati in almeno 50 milioni di dollari. Due degli imputati, Aleksandr Stepanov (alias JimmBee), 39 anni, e Artem Aleksandrovich Kalinkin (alias Onix), 34 anni, entrambi di Novosibirsk, Russia, sono attualmente latitanti.
Il malware operava secondo un modello “malware-as-a-service” (MaaS), con accessi affittati a partire da 500 fino a diverse migliaia di dollari al mese. DanaBot, tracciato con i nomi in codice Scully Spider e Storm-1044, è uno strumento multifunzionale simile a Emotet, TrickBot, QakBot e IcedID, capace di agire come stealer e vettore per payload successivi, come il ransomware.
DanaBot utilizzava vari metodi per infettare i computer delle vittime, inclusi messaggi email di spam contenenti allegati o hyperlink malevoli. I computer infettati diventavano parte di una botnet, consentendo agli operatori di controllarli da remoto in modo coordinato.
Il malware, basato su Delphi e modulare, era in grado di sottrarre dati dai computer delle vittime, dirottare sessioni bancarie e rubare informazioni sui dispositivi, cronologie di navigazione, credenziali di account memorizzate e portafogli di criptovalute. Poteva anche fornire accesso remoto completo, registrare sequenze di tasti e catturare video.
L’azione delle forze dell’ordine, parte dell’Operazione Endgame, ha portato al sequestro dei server di comando e controllo (C2) di DanaBot, inclusi dozzine di server virtuali ospitati negli Stati Uniti. Questa operazione ha visto la collaborazione di diverse agenzie internazionali per contrastare le attività cybercriminali su scala globale.
Un elemento curioso emerso dall’indagine è che alcuni membri dell’organizzazione DanaBot si sono infettati accidentalmente con il proprio malware, permettendo agli investigatori di raccogliere dati compromettenti dai loro computer. Questi dati hanno contribuito all’identificazione dei membri dell’organizzazione.
Lo smantellamento della rete DanaBot rappresenta un passo significativo nella lotta contro il cybercrimine internazionale. Tuttavia, la natura evolutiva di queste minacce richiede una vigilanza continua e una collaborazione globale per prevenire e contrastare future attività malevole.
Fonte: https://thehackernews.com/2025/05/us-dismantles-danabot-malware-network.html?utm_source=chatgpt.com
Copyright @2023 Leonardo Network S.r.l. VAT IT01749180533. All Rights Reserved.
