# Operation Endgame 2024 > [!success] Maior Takedown de Botnets da Historia > A Operation Endgame (maio de 2024) foi declarada pelo Europol como **a maior operação já realizada contra botnets**. Seis familias de malware loader simultaneamente desmanteladas, 100+ servidores derrubados em 10 paises, 2.000+ dominios apreendidos. Uma vitoria historica do law enforcement global contra a cadeia de abastecimento de ransomware. ## Visão Geral A **Operation Endgame** foi uma operação policial internacional coordenada pelo Europol e Eurojust, executada entre 27 e 29 de maio de 2024, que resultou no maior desmantelamento simultâneo de infraestrutura de malware loader já registrado. A operação derrubou as botnets de **seis familias de malware** que formavam a espinha dorsal da cadeia de distribuição de ransomware global: [[s1039-bumblebee|Bumblebee]], [[s0483-icedid|IcedID]], [[pikabot|Pikabot]], [[s0226-smokeloader|SmokeLoader]], [[s0533-systembc|SystemBC]] e [[s0266-trickbot|Trickbot]]. A lógica da operação foi disruptiva por design: em vez de perseguir operadores de ransomware diretamente, o Europol cortou o **suprimento de acesso inicial**. Os malware loaders sao o elo entre o phishing e o ransomware - sem loaders, gangues de ransomware perdem sua principal forma de comprometer redes corporativas. A operação estimou que os operadores haviam acumulado **EUR 69 milhões** em criptomoedas distribuindo acesso a botnets para grupos de ransomware. O takedown envolveu **20 paises** e parceiros privados incluindo Bitdefender, Proofpoint, Sekoia, Fox-IT, ESET, Cryptolaemus e HaveIBeenPwned. Quatro pessoas foram presas (Armenia e Ucrania) e mandados de prisao internacionais foram emitidos para mais oito suspeitos adicionados a lista de mais procurados da UE. ## Mapa da Operação ```mermaid graph TB A["🚔 Europol + Eurojust<br/>20 paises participantes<br/>Coordenacao central"] --> B["🖥 100+ servidores<br/>Derrubados em 10 paises<br/>Holanda, Alemanha, EUA..."] A --> C["🌐 2.000+ dominios<br/>Transferidos para controle<br/>de autoridades"] A --> D["👮 4 presos<br/>Armenia e Ucrania<br/>8 mandados internacionais"] B --> E["💀 Bumblebee<br/>IcedID - Pikabot<br/>SmokeLoader - SystemBC"] B --> F["💀 Trickbot<br/>Infraestrutura residual<br/>desmantelada"] E --> G["💰 EUR 69M<br/>Ativos cripto congelados<br/>Modelo rental disrupted"] ``` ## Botnets Desmanteladas | Botnet | Papel | Nota | |--------|-------|------| | [[s1039-bumblebee\|Bumblebee]] | Loader sofisticado, entregava Cobalt Strike | Reapareceu fev/2024 após pausa; 200+ campanhas documentadas | | [[s0483-icedid\|IcedID]] | Loader/banking trojan múltiplos usos | Predecessor do Bumblebee, ainda amplamente usado | | [[pikabot\|Pikabot]] | Substituto pos-QakBot, loader ransomware | Retornou reformulado em fev/2024 - ver [[pikabot-distribution-february-2024]] | | [[s0226-smokeloader\|SmokeLoader]] | Loader historico desde 2011 | UAC-0006 usava contra Ucrania; base de clientes mapeada | | [[s0533-systembc\|SystemBC]] | Proxy backdoor SOCKS5 | Pós-comprometimento em operações de ransomware RaaS | | [[s0266-trickbot\|Trickbot]] | Botnet multifuncional | Infrastructure residual; já havia sofrido takedowns anteriores | ## Fase 2 - Prisoes de Clientes do SmokeLoader (2025) Em abril de 2025, o Europol anunciou fase adicional da Operation Endgame: **prisoes de clientes do SmokeLoader**, cujos dados de contato foram encontrados em banco de dados apreendido do operador conhecido como "Superstar". Os clientes usavam o malware para keylogging, acesso via webcam, implantação de ransomware e cryptomining. Varios clientes revendiam o servico com markup, ampliando a rede investigativa. ## Relevância LATAM/Brasil O impacto direto no Brasil e América Latina e **indireto mas significativo**: (1) os malware loaders desmantelados eram amplamente usados por grupos de ransomware que atacam a regiao, incluindo Black Basta (Bumblebee/Pikabot) e grupos que usam SystemBC em operações RaaS; (2) o [[s0226-smokeloader|SmokeLoader]] ainda tinha alguns controllers ativos no Brasil e Colombia antes do takedown; (3) a disrupcao da cadeia de suprimento de acesso inicial impactou a capacidade de múltiplos grupos de realizar campanhas de ransomware enterprise no Brasil. ## Cronologia | Data | Evento | |------|--------| | Mai 2024 | Operação principal - 27-29 maio - maior takedown de botnets da historia | | Jun 2024 | Europol divulga detalhes completos e lista de mais procurados | | Out 2024 | Prisoes adicionais de operadores SmokeLoader | | Abr 2025 | Europol anuncia fase 2 - prisoes de clientes SmokeLoader ("Superstar" database) | ## Referências - [Europol - Operation Endgame (maio 2024)](https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem) - [Proofpoint - Major Botnets Disrupted (2024)](https://www.proofpoint.com/us/blog/threat-insight/major-botnets-disrupted-global-law-enforcement-takedown) - [Infosecurity Magazine - Operation Endgame Smokeloader (2025)](https://www.infosecurity-magazine.com/news/operation-endgame-smokeloader/)