A operação do infostealer Rhadamanthys foi desmantelada, deixando diversos “clientes” do malware-as-a-service sem acesso aos seus servidores.
O Rhadamanthys é um malware do tipo infostealer que rouba credenciais e cookies de autenticação de navegadores, clientes de e-mail e outras aplicações.
Ele costuma ser distribuído em campanhas disfarçadas de cracks de software, vídeos no YouTube ou anúncios maliciosos em motores de busca.
O malware é comercializado no modelo de assinatura, no qual cibercriminosos pagam uma taxa mensal ao desenvolvedor para terem acesso ao malware, suporte e a um painel web utilizado para coletar os dados roubados.
Pesquisadores de segurança cibernética, como g0njxa e Gi7w0rm, que monitoram operações maliciosas do tipo Rhadamanthys, relataram que criminosos envolvidos afirmam que autoridades policiais teriam obtido acesso aos painéis web.
Em um fórum de hackers, alguns clientes informaram ter perdido o acesso via SSH aos seus painéis, que agora exigem certificado digital para login, substituindo a senha root tradicional.
“Se sua senha não está funcionando para login, o método de acesso ao servidor foi alterado para login por certificado. Por favor, verifique e confirme. Caso seja isso, reinstale imediatamente seu servidor e apague os rastros. A polícia alemã está em ação”, alertou um dos clientes.
Outro assinante do Rhadamanthys afirmou enfrentar o mesmo problema: o acesso via SSH ao servidor também passou a exigir login por certificado.
“Confirmo que visitantes não autorizados acessaram meu servidor e a senha root foi apagada.
O login passou a ser estritamente por certificado, por isso tive que apagar tudo e desligar o servidor.
Os que instalaram manualmente talvez tenham escapado, mas quem usou o ‘smart panel’ sofreu bastante”, relatou outro usuário.
Uma mensagem atribuída ao desenvolvedor do Rhadamanthys sugere que a polícia alemã estaria por trás da ação, já que os painéis hospedados em data centers na União Europeia registraram logins a partir de IPs alemães pouco antes do bloqueio dos criminosos.
G0njxa disse ao BleepingComputer que os sites em Tor da operação também estão fora do ar, embora ainda não exibam banners oficiais de apreensão policial, o que deixa dúvidas sobre os responsáveis pela interrupção.
Diversos especialistas consultados pelo BleepingComputer acreditam que essa ação pode estar associada a um anúncio iminente da Operation Endgame, iniciativa em curso de autoridades contra operações de malware-as-a-service.
Desde seu início, a Operation Endgame já derrubou diversas infraestruturas, incluindo as ligadas a ransomware e malwares como SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC.
No momento, o site oficial da Operation Endgame exibe uma contagem regressiva para um novo comunicado a ser divulgado na quinta-feira.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...