Europol hat zusammen mit Eurojust über 1.025 Server abgeschaltet, die von drei Malware-Familien genutzt wurden: dem Rhadamanthys-Infostealer, VenomRAT und dem Elysium-Botnet.
Diese Mission ist Teil der neuesten Phase der Operation Endgame, einer Aktivität, die zwischen dem 10. und 13. November stattfindet und darauf abzielt, kriminelle Infrastrukturen zu zerschlagen und die Unterstützer von Ransomware weltweit zu bekämpfen.
In einer Erklärung teilte: „Die zerschlagene Malware-Infrastruktur bestand aus Hunderttausenden infizierten Computern mit mehreren Millionen gestohlenen Zugangsdatendent“
Die gemeinsame Aktion, koordiniert von Europol und Eurojust, wurde auch von mehreren privaten Partnern unterstützt, darunter Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD und Bitdefender.
Europols Hauptverdächtiger hinter Venom RAT
Laut Europol bemerkten viele Opfer die Infektionen nicht. Dies unterstreicht die Heimtücke dieser Bedrohungen. Infostealer sammeln unbemerkt Anmeldedaten, während RATs wie VenomRAT die Fernsteuerung für Spionage oder den Einsatz von Ransomwareund Botnetze wie Elysium DDoS-Angriffe und Spam-Kampagnen verstärken.
Die gemeinsame Aktion zielte auf die Ransomware-Infrastruktur, die AVCheck-Website, Kunden des Smokeloader-Botnetzes und Server ab. Außerdem wurden wichtige Malware-Operationen wie DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee und SystemBC gestört.
Neben der Eliminierung der drei wichtigsten Wegbereiter der Cyberkriminalität haben die Behörden am 3. November in Griechenland auch den Hauptverdächtigen hinter Venom RAT festgenommen. Darüber hinaus wurden mehr als 1.025 Server abgeschaltet und 20 Domains beschlagnahmt.
Infostealer hatte Zugriff auf 100.000 Krypto-Wallets
Die heutige Ankündigung bestätigt die Zerschlagung der Rhadamanthys-Infostealer-Operation. Die Kunden des Malware-as-a-Service-Anbieters geben an, keinen Zugriff mehr auf ihre Server zu haben.
Dies geschieht, nachdem Rhadamanthys auf seiner Website zwei Tools namens Elysium Proxy Bot und Crypt Service beworben hatte. Der Hauptdatendieb wurde aktualisiert und kann nun unter anderem Fingerabdrücke von Geräten und Webbrowsern sammeln.
Rhadamanthys entwickelte sich zu einem der bekanntesten Informationsbetrüger, der als Malware-as-a-Service (MaaS) angeboten wurde. Er wurde erstmals von einem Bedrohungsakteur namens kingcrete2022 beworben. Version 0.9.2 des Stealers ist die aktuellste Version.
Im Laufe der Zeit haben sich die Fähigkeiten der Angreifer so weit entwickelt, dass sie weit mehr als nur Daten stehlen können. Sie stellen eine ernsthafte Bedrohung für die Sicherheit von Privatpersonen und Unternehmen dar. Recorded Future enthüllte, dass Version 0.7.0 der Malware über ein neues KI-Tool zur optischen Zeichenerkennung (OCR) verfügt, mit dem sich die Seed-Phrasen von Krypto-Wallets erfassen lassen.
Es ist jedoch noch immer unklar, ob es sich bei dem von Europol erwähnten Elysium-Botnetz um denselben Proxy-Botnetzdienst handelt wie RHAD Security (auch bekannt als Mythical Origin Labs), der Bedrohungsakteur, der mit Rhadamanthys in Verbindung gebracht wird und noch im letzten Monat Werbung dafür gemacht hat.
Europol gab außerdem bekannt, dass der Hauptverdächtige des Datendiebstahls Zugriff auf mindestens 100.000 Krypto-Wallets von Opfern hatte. Der Schaden könnte sich potenziell auf Millionen von Euro belaufen.
Zu den an der Aktion beteiligten Behörden gehörten Strafverfolgungsbehörden aus Australien, Kanada, Dänemark, Frankreich, Deutschland, Griechenland, Litauen, den Niederlanden und den USA.
Gleichzeitig gründeten das US-Justizministerium (DOJ), das FBI und der Secret Service eine neue behördenübergreifende Task Force zur Bekämpfung von Kryptobetrugsfällen, die auf Amerikaner abzielen.
Wie berichtet Cryptopolitan Cryptopolitandass die kriminellen Drahtzieher dieser Operationen häufig von Anlagen in Südostasien aus operieren. Die Arbeiter vor Ort sind zumeist Opfer von Menschenhandel, werden gegen ihren Willen festgehalten, misshandelt und von bewaffneten Gruppen bewacht.
Die US-Staatsanwältin Jeanine Ferris Pirro sagte: „Die Schätzungen könnten aufgrund von Untererfassung bis zu 15 Mal höher als 9 Milliarden Dollar liegen, und es beginnt mit den Geräten, die Sie und ich jeden Tag in Händen halten und benutzen, um unsere Bankgeschäfte zu erledigen, unser Leben zu bereichern und mit unseren Freunden und Angehörigen zu kommunizieren.“
