Kể từ khi thành lập vào năm 2010, AVCheck đã được tội phạm mạng sử dụng rộng rãi. Dịch vụ trực tuyến này cho phép các nhà phát triển kiểm tra xem phần mềm độc hại của họ có bị phát hiện bởi phần mềm diệt vi-rút hay không. Do đó, kẻ tấn công có thể tinh chỉnh mã của họ cho đến khi nó tránh được phần mềm phát hiện vi-rút. Để quét phần mềm độc hại trong khi nó đang được phát triển, tin tặc chỉ cần kéo các tệp độc hại của chúng vào một nền tảng.
Sau một cuộc điều tra kéo dài, cơ quan thực thi pháp luật đã hiểu rằng trang web này đóng vai trò chính trong các cuộc tấn công mạng dựa trên tống tiền. AvCheck đáng chú ý được sử dụng trong các cuộc tấn công bằng phần mềm tống tiền xảy ra trên đất Mỹ. Tin tặc đã sử dụng máy quét để phát triển các loại vi-rút có khả năng lây nhiễm máy tính mà không bị phát hiện. Sau đó, phần mềm độc hại có thể được sử dụng để triển khai phần mềm tống tiền trên máy bị nhiễm. Điều này mã hóa hoặc đánh cắp dữ liệu, tạo đòn bẩy cho tội phạm mạng.
Cảnh sát Hà Lan giải thích trong một thông cáo báo chí rằng "Quản trị viên đã không cung cấp bảo mật như đã hứa". Theo Matthijs Jaspers, trưởng nhóm cảnh sát Hà Lan phụ trách cuộc điều tra, "việc đưa dịch vụ AVCheck ngoại tuyến đánh dấu một bước quan trọng trong cuộc chiến chống tội phạm mạng có tổ chức". Các nhà chức trách đã thu giữ bốn tên miền và một máy chủ như một phần của hoạt động quốc tế. Sau đó, các nhà chức trách phát hiện ra rằng quản trị viên của AVCheck có liên quan đến các dịch vụ khác do tội phạm mạng điều hành, Cryptor.biz và Cryptor.guru. Hai công cụ này cho phép tội phạm mạng ngụy trang phần mềm độc hại của chúng để khiến chúng không thể phát hiện được bằng cách làm tối mã hoặc mã hóa các chương trình. Sau khi mã được ẩn, tội phạm mạng đã sử dụng AVCheck để kiểm tra hiệu quả ngụy trang của chúng. Nếu phần mềm không bị phát hiện trong các cuộc thử nghiệm này, thì sau đó nó sẽ được sử dụng trong các cuộc tấn công mạng.
Việc thu giữ AVCheck bắt nguồn từ Chiến dịch Endgame, Chiến dịch Engame, do Europol khởi xướng vào tháng 5 năm ngoái và được mô tả là "chiến dịch lớn nhất từng được thực hiện" chống lại ngành công nghiệp phần mềm độc hại. Cuộc tấn công quốc tế dài hạn này, có sự tham gia của cảnh sát từ nhiều quốc gia và một số gã khổng lồ công nghệ, đã tiêu diệt được một loạt các loại vi-rút, bao gồm Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot, Warmcookie và Danabot. Bằng cách nhắm mục tiêu vào phần mềm và công cụ được sử dụng để phát triển vi-rút, lực lượng thực thi pháp luật đang tìm cách phá vỡ ngành công nghiệp phần mềm tống tiền. Khi bị tước mất các công cụ lây nhiễm, tin tặc sẽ phải tìm cách khác để phát tán vi-rút tống tiền của chúng.
Nguồn: Politie.nl
Sau một cuộc điều tra kéo dài, cơ quan thực thi pháp luật đã hiểu rằng trang web này đóng vai trò chính trong các cuộc tấn công mạng dựa trên tống tiền. AvCheck đáng chú ý được sử dụng trong các cuộc tấn công bằng phần mềm tống tiền xảy ra trên đất Mỹ. Tin tặc đã sử dụng máy quét để phát triển các loại vi-rút có khả năng lây nhiễm máy tính mà không bị phát hiện. Sau đó, phần mềm độc hại có thể được sử dụng để triển khai phần mềm tống tiền trên máy bị nhiễm. Điều này mã hóa hoặc đánh cắp dữ liệu, tạo đòn bẩy cho tội phạm mạng.
Sự sụp đổ của AVCheck và 2 công cụ tội phạm khác
Sau hơn mười lăm năm, cuối cùng chính quyền đã quyết định đóng cửa AVCheck. Vào ngày 27 tháng 5 năm 2025, các cơ quan thực thi pháp luật tại Hoa Kỳ, Hà Lan và Phần Lan đã thu giữ trang web của công cụ này. Hiện tại, trang web hiển thị thông báo thu giữ có logo của các cơ quan có liên quan đến hoạt động này. Để thu giữ trang web, cảnh sát đã lợi dụng nhiều lỗi của quản trị viên.Cảnh sát Hà Lan giải thích trong một thông cáo báo chí rằng "Quản trị viên đã không cung cấp bảo mật như đã hứa". Theo Matthijs Jaspers, trưởng nhóm cảnh sát Hà Lan phụ trách cuộc điều tra, "việc đưa dịch vụ AVCheck ngoại tuyến đánh dấu một bước quan trọng trong cuộc chiến chống tội phạm mạng có tổ chức". Các nhà chức trách đã thu giữ bốn tên miền và một máy chủ như một phần của hoạt động quốc tế. Sau đó, các nhà chức trách phát hiện ra rằng quản trị viên của AVCheck có liên quan đến các dịch vụ khác do tội phạm mạng điều hành, Cryptor.biz và Cryptor.guru. Hai công cụ này cho phép tội phạm mạng ngụy trang phần mềm độc hại của chúng để khiến chúng không thể phát hiện được bằng cách làm tối mã hoặc mã hóa các chương trình. Sau khi mã được ẩn, tội phạm mạng đã sử dụng AVCheck để kiểm tra hiệu quả ngụy trang của chúng. Nếu phần mềm không bị phát hiện trong các cuộc thử nghiệm này, thì sau đó nó sẽ được sử dụng trong các cuộc tấn công mạng.
Một trang đăng nhập giả để bẫy tin tặc
Trước khi thu giữ trang web AVCheck, các nhà điều tra đã thiết lập một trang đăng nhập giả. Tất cả người dùng cố gắng đăng nhập vào tài khoản của họ đều nhận được cảnh báo nhắc nhở họ rằng công cụ này vi phạm luật pháp. Cảnh sát Hà Lan cho biết thêm rằng cơ quan thực thi pháp luật "đã thu giữ cơ sở dữ liệu người dùng". Các nhà điều tra có rất nhiều thông tin về tin tặc đã sử dụng AVCheck, bao gồm tên người dùng, địa chỉ email, thông tin thanh toán và "bằng chứng quan trọng" khác. Do đó, có khả năng các nhà chức trách sẽ truy tìm chúng như một phần của cuộc điều tra.Việc thu giữ AVCheck bắt nguồn từ Chiến dịch Endgame, Chiến dịch Engame, do Europol khởi xướng vào tháng 5 năm ngoái và được mô tả là "chiến dịch lớn nhất từng được thực hiện" chống lại ngành công nghiệp phần mềm độc hại. Cuộc tấn công quốc tế dài hạn này, có sự tham gia của cảnh sát từ nhiều quốc gia và một số gã khổng lồ công nghệ, đã tiêu diệt được một loạt các loại vi-rút, bao gồm Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot, Warmcookie và Danabot. Bằng cách nhắm mục tiêu vào phần mềm và công cụ được sử dụng để phát triển vi-rút, lực lượng thực thi pháp luật đang tìm cách phá vỡ ngành công nghiệp phần mềm tống tiền. Khi bị tước mất các công cụ lây nhiễm, tin tặc sẽ phải tìm cách khác để phát tán vi-rút tống tiền của chúng.
Nguồn: Politie.nl
