Microsoft, Europol и международные партнёры провели новый этап Operation Endgame, нацеленный на инфраструктуру вредоносных семейств Amadey и StealC. По данным BleepingComputer, операция включала отключение, изъятие, блокировку или sinkhole-инфраструктуру, которая использовалась для кражи учётных данных, первичного доступа и дальнейших атак.

Europol сообщил о disruption 326 серверов и 142 доменов. Следователи также выявили более €41 млн в криптовалюте, связанной с преступной активностью, и восстановили около 27 млн украденных учётных данных с более чем 385 тыс. скомпрометированных систем. По оценке ведомства, одновременный удар по нескольким инструментам повышает трение для киберпреступников: атаки становится сложнее запускать, масштабировать и быстро восстанавливать.

В операции участвовали правоохранительные органы Канады, Дании, Германии, Нидерландов, Великобритании и США, координацию обеспечивали Europol и Eurojust. Со стороны частного сектора помогали Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus и другие организации.

Amadey и StealC распространяются как malware-as-a-service: преступные партнёры платят за билдеры, панели управления, поддержку и инфраструктуру. Amadey часто используется для первичного закрепления на устройстве и доставки следующей стадии вредоносов. StealC специализируется на краже паролей, криптокошельков и другой чувствительной информации, которая затем продаётся на подпольных рынках или используется initial access brokers для ransomware-атак.

Microsoft в гражданском иске в США заявила, что её Digital Crimes Unit выявила более 200 вредоносных C2-доменов и IP-адресов, связанных с Amadey и StealC. Компания также указывает, что только за первые две недели мая 2026 года эти семейства были связаны с более чем 140 тыс. заражённых устройств.

Операция не означает окончательного исчезновения угрозы: без арестов операторы часто строят новую инфраструктуру. Но для защитников это окно, когда стоит обновить индикаторы компрометации, проверить возможные утечки учётных данных и пересмотреть правила обнаружения ClickFix/FileFix-сценариев, через которые StealC активно доставлялся пользователям.

Источник: BleepingComputer, 24 июня 2026