Operationen, som kallas ”Endgame”, initierades och leddes av Frankrike, Tyskland och Nederländerna.
Enligt en fransk tjänsteman var syftet att vidta åtgärder inför sommarens olympiska spel i Paris.
Enligt holländsk polis kostade attackerna hundratals miljoner euro för offren, främst företag och myndigheter, och infekterade systemen hos miljontals individer.
Under operationen greps en person i Armenien och tre andra i Ukraina den 27-29 maj. Sökningar genomfördes i båda dessa länder samt i Nederländerna och Portugal, enligt Europol.
De drabbade servrarna fanns i Bulgarien, Kanada, Tyskland, Litauen, Nederländerna, Rumänien, Schweiz, Storbritannien, USA och Ukraina.
Utöver de fyra häktade kommer åtta andra misstänkta på flykt att läggas till på den europeiska listan över de mest eftersökta personerna.
En av de misstänkta tjänade minst 69 miljoner euro i kryptovaluta genom att hyra ut webbplatser för kriminell infrastruktur för att distribuera utpressningsprogram, enligt Europol.
Europol, med huvudkontor i Haag, kallade operationen för ”den största operationen som någonsin genomförts mot botnät, som spelar en viktig roll i distributionen av utpressningstrojaner”.
Ett botnät är ett nätverk av datorer som är infekterade med skadlig kod och kontrolleras av hackare.
Tjänstemännen riktade in sig på skadlig kod som kallas IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee och Trickbot, som fungerar som nedladdare. Droppare), vilket gör det möjligt för andra typer av skadlig kod att komma in i enheten.
”Trickbot användes för att starta ransomware-attacker mot amerikanska sjukhus under COVID-19-pandemin.
Europol sade att operationen hade en inverkan på det ”världsomspännande ekosystemet för distribution av skadlig kod”.
Enligt Europol gör den skadliga programvaran som operationen riktade in sig på det möjligt för brottslingar att kringgå säkerhetsåtgärder och installera virus, ransomware eller spionprogram.
Enligt Eurojust, EU:s byrå för straffrättsligt samarbete, installeras skadlig programvara vanligtvis genom att klicka på infekterade länkar i e-postmeddelanden eller genom bilagor i Word- eller PDF-ordbehandlingsprogram.
Europol säger att Operation Endgame pågår och tillägger att fler gripanden väntas.
”Vi ville slutföra den här operationen före OS”, sade Nicolas Guidoux, chef för den franska polisens enhet för bekämpning av cyberbrott, till nyhetsbyrån AFP.
Han sa att det var ”viktigt att försvaga den attackerande infrastrukturen” och ”begränsa dess resurser” inför det globala evenemanget, mitt i rädslan för att OS skulle kunna bli målet för flera cyberattacker.
N. Guidoux sade att det exakta antalet offer inte skulle bli känt förrän servrarna hade analyserats.
Tjänstemän från Danmark, Storbritannien, USA, Armenien, Bulgarien, Litauen, Portugal, Rumänien, Schweiz, Storbritannien, USA, Litauen, Bulgarien, Rumänien, Schweiz och Ukraina var också involverade i ”Operation Endgame”.
Utredningen inleddes 2022.