<div id="post_message_793199">

В Лос-Анджелесе оглашены обвинения, выдвинутые по делу о создании и распространении Windows-трояна DanaBot. Среди 16 ответчиков числятся Александр Степанов (JimmBee) и Артем Калинкин (Onix) из Новосибирска.<br/>
<br/>
Обоим россиянам, которые пока не пойманы, <a href="https://www.justice.gov/usao-cdca/pr/16-defendants-federally-charged-connection-danabot-malware-scheme-infected-computers" target="_blank">инкриминируются </a>преступный сговор, а также получение несанкционированного доступа к компьютерам с целью кражи информации и совершения мошеннических действий.<br/>
<br/>
Всех фигурантов удалось выявить благодаря конфискации C2-серверов и хранилищ данных, украденных <a href="https://www.anti-malware.ru/news/2018-10-15-1447/27739" target="_blank">DanaBot</a>. Их изучение показало, что многофункциональный зловред воровал также учетки своих разработчиков и операторов: первые заражали собственные машины с целю тестирования, вторые — по ошибке.<br/>
<br/>
Троян DanaBot известен ИБ-сообществу с 2018 года. Созданный на его основе ботнет предоставлялся в пользование по модели MaaS (Malware-as-a-Service, вредонос как услуга); ФБР удалось выявить не менее 40 аффилиатов криминального сервиса.<br/>
<br/>
Согласно материалам дела, клиенты MaaS суммарно заразили свыше 300 тыс. компьютеров, совокупный ущерб жертв превысил $50 миллионов. В ESET за шесть лет наблюдений обнаружили более C2-серверов DanaBot; наибольшее количество заражений зафиксировано в Польше.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/05/23/0048/3474/3202450/50/b9f51f3a3c.jpg"/><br/>
<br/>
Агенты ФБР также раздобыли свидетельства использования трояна для шпионажа. Вторая версия зловреда регистрировала все действия жертв на компьютерах и применялась в атаках на дипломатов, силовиков и военных США, Великобритании, Германии, Белоруссии и России.<br/>
<br/>
Центры управления DanaBot v2 были нейтрализованы в ходе очередного этапа операции Endgame. Службе криминальных расследований Минобороны США (Defense Criminal Investigative Service, DCIS) удалось установить контроль над десятками виртуальных серверов; в настоящее время проводятся работы по оповещению жертв заражения и оказанию помощи в дезинфекции.<br/>
<br/>
Кроме ФБР и DCIS, в расследовании криминальной деятельности, связанной с DanaBot, принимали участие спецподразделения полиции Германии, Нидерландов и Австралии. Экспертную поддержку силовикам оказали ESET, Crowdstrike, Intel 471, Proofpoint, ZScaler и Team CYMRU.<br/>
<br/>
Новые карательные меры в рамках Operation Endgame были <a href="https://www.europol.europa.eu/media-press/newsroom/news/operation-endgame-strikes-again-ransomware-kill-chain-broken-its-source" target="_blank">приняты </a>в период с 19 по 22 мая. По данным Европола, правоохране удалось обезвредить около 300 вредоносных серверов и 650 доменов, а также получить 20 ордеров на арест подозреваемых.<br/>
<br/>
Трансграничная операция имела целью разгром инфраструктуры следующих зловредов:<ul><li><a href="https://www.anti-malware.ru/news/2022-10-04-114534/39667" target="_blank">Bumblebee</a></li>
</ul><ul><li>Lactrodectus</li>
</ul><ul><li><a href="https://www.anti-malware.ru/news/2023-12-18-114534/42498" target="_blank">Qakbot</a></li>
</ul><ul><li><a href="https://www.anti-malware.ru/news/2023-09-11-114534/41886" target="_blank">Hijackloader</a></li>
</ul><ul><li>DanaBot</li>
</ul><ul><li><a href="https://www.anti-malware.ru/news/2024-01-26-114534/42683" target="_blank">Trickbot</a></li>
</ul><ul><li>Warmcookie</li>
</ul><a href="https://www.anti-malware.ru/news/2025-05-23-114534/46136" target="_blank">@ Anti-Malware </a>
</div>