Operation Endgame은 국제 당국과 다수의 민간 기술 기업들이 수백만 개의 로그인 자격 증명을 수집하고 랜섬웨어 지불 및 기타 사기 수단으로 4,700만 달러 이상을 훔치는 사이버 범죄 '조립 라인'을 붕괴시킨 작전이다. 이번 작전의 핵심은 다양한 온라인 사기에 널리 사용되는 두 가지 관련 없는 도구를 동시에 표적으로 삼는 것이었다. 첫 번째는 Amadey로, 장치를 침해하고 랜섬웨어 및 기타 사기를 위한 서비스형 악성코드 플랫폼이다. Amadey는 적어도 2018년부터 활동이 관찰되었으며, 작년에는 감염된 장치에서 시스템 정보를 수집하고 맞춤형 페이로드를 설치하면서 GitHub를 악용하는 모습이 포착되었다. 두 번째 도구는 StealC로, 자격 증명, 인증 쿠키, 암호화폐 지갑, 브라우저 확장 프로그램 및 고객이 정의한 패턴과 일치하는 파일을 수집하는 서비스형 정보 탈취 악성코드 플랫폼이다.

Amadey와 StealC는 서로 독립적으로 실행되는 별개의 도구다. 그러나 광범위하게 사용되기 때문에 많은 고객이 개별 사이버 범죄 활동에 두 가지를 모두 사용한다. 이 도구들은 또한 동일한 기본 인프라 중 일부에 의존하여 실행되는 것으로 밝혀졌다. Microsoft는 AI를 사용하여 이 도구들을 분석한 후 이러한 결정을 내렸다고 밝혔다. 이 통찰력을 통해 Microsoft 변호사들은 두 도구를 동시에 방해하는 명령을 요청할 수 있었다. Microsoft는 수요일 "이번 조치는 조직적인 도구들이 랜섬웨어, 금융 사기, 공공 서비스 방해를 유발하는 사이버 범죄 '조립 라인'을 겨냥한다"고 밝혔다. "Amadey와 StealC는 종종 함께 사용된다. Amadey는 공격자가 장치에 접근하도록 돕고, StealC는 비밀번호와 민감한 정보를 훔친다. 이들은 함께 사슬의 중요한 연결 고리를 형성한다." 이 도구들이 중복되는 인프라를 가지고 있다는 증거를 바탕으로, 회사 변호사들은 조직 범죄를 표적으로 하는 RICO 법령을 발동했다. 그 결과, 법적 조치는 두 도구를 단일 공모의 일부로 취급할 수 있었다. Microsoft는 200개 이상의 명령 및 제어 서버를 방해하고 18,000대 이상의 감염된 컴퓨터에 대한 범죄 통제를 차단했다고 밝혔다. 작전의 법 집행 부분을 조율하는 데 도움을 준 Europol은 2,700만 개에 달하는 도난당한 로그인 자격 증명을 회수하고 4,700만 달러 상당의 "범죄 유래 암호화 자산"을 발견했다고 전했다. Europol은 "이번 작전 중 326개의 서버와 142개의 도메인이 법 집행 기관과 민간 부문 파트너에 의해 조치되어 악성코드의 유포 네트워크를 심각하게 마비시켰다"고 말했다. "이 도구들을 동시에 제거함으로써 법 집행 기관과 민간 당사자 간의 협력은 사이버 범죄자들에게 마찰을 증가시켜 공격이 성공하고 확산되거나 복구되는 것을 더욱 어렵게 만들었다."

"Operation Endgame"에 참여한 다른 기업으로는 ESET, Proofpoint 및 IBM X-Force, Bitsight, 그리고 Mitsui Bussan Secure Directions가 있다. Europol은 "Operation Endgame"에서 방해된 또 다른 도구는 러시아 사이버 범죄 그룹 Evil Corp.와 연관된 악성코드 로더인 SocGholish라고 밝혔다. SocGholish는 침해된 웹사이트를 통해 확산된다. 이 사이트 방문자들은 브라우저 확장 프로그램이나 기타 합법적인 소프트웨어로 위장한 트로이 목마 앱을 설치하도록 속았다. Europol은 감염된 WordPress 사이트를 정리하고 사이트 관리자들에게 자격 증명을 변경하고 보안을 강화하도록 촉구함으로써 대응했다고 전했다. 또한 SocGholish 활동을 통해 데이터와 자격 증명이 노출된 당사자들에게 통지하기 위해 노력했다. 이번 법 집행 조치에 참여한 국가로는 캐나다, 덴마크, 독일, 네덜란드, 영국, 미국이 포함된다.