Europol desmantela los grupos de malware Rhadamanthys Stealer, Venom RAT y Elysium botnet

Europol, junto con Eurojust, ha derribado más de 1.025 servidores utilizados por tres familias de malware: el malware Rhadamanthys infostealer, VenomRAT y la red de bots Elysium.

Esta misión es parte de la última fase de la Operación Endgame, una actividad que se llevará a cabo entre el 10 y el 13 de noviembre, diseñada para desmantelar las infraestructuras criminales y combatir a los facilitadores de ransomware en todo el mundo.

En un comunicado, Europol afirmó: "La infraestructura de malware desmantelada constaba de cientos de miles de ordenadores infectados que contenían varios millones de credenciales robadasdent.

La acción conjunta, coordinada por Europol y Eurojust, también contó con el apoyo de varios socios privados, entre ellos Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD y Bitdefender.

El principal sospechoso de Europol detrás de Venom RAT

Según Europol, muchas víctimas desconocían las infecciones. Esto ha puesto de manifiesto la naturaleza sigilosa de estas amenazas. Los ladrones de información recopilan silenciosamente datos de inicio de sesión, mientras que las RAT como VenomRAT permiten el control remoto para espionaje o la implementación de ransomware, y las botnets como Elysium amplifican los ataques de denegación de servicio distribuido (DDoS) y las campañas de spam.

La acción conjunta afectó la infraestructura de ransomware, el sitio web de AVCheck, los clientes de la botnet Smokeloader y los servidores. También interrumpió importantes operaciones de malware, como DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee y SystemBC.

Además de eliminar a los tres principales facilitadores del cibercrimen, las autoridades también arrestaron al principal sospechoso detrás de Venom RAT en Grecia el 3 de noviembre. Además, se desconectan más de 1.025 servidores y se incautan 20 dominios.

Infostealer tuvo acceso a 100.000 billeteras de criptomonedas

El anuncio de hoy confirma la interrupción de la operación del ladrón de información Rhadamanthys, y los clientes del malware como servicio afirman que ya no tienen acceso a sus servidores.

Esto ocurre después de que Rhadamanthys promocionara dos herramientas en su sitio web, llamadas Elysium Proxy Bot y Crypt Service. El principal ladrón de información se había actualizado para incluir la capacidad de recopilar huellas dactilares de dispositivos y navegadores web, entre otras funciones.

Rhadamanthys se había convertido en uno de los estafadores de información más famosos, disponible como malware como servicio (MaaS). Fue anunciado inicialmente por un actor de amenazas llamado kingcrete2022. La versión 0.9.2 del ladrón es la más reciente.

Con el tiempo, las habilidades del ladrón han evolucionado hasta el punto de que pueden lograr mucho más que simplemente robar datos. Representaban una grave amenaza para la seguridad personal y empresarial. Recorded Future reveló que la versión 0.7.0 del malware contaba con una nueva herramienta de inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR) que podía capturar frases semilla de monederos de criptomonedas.

Sin embargo, aún no está claro si la botnet Elysium a la que se refiere Europol es el mismo servicio de botnet proxy que RHAD Security (también conocido como Mythical Origin Labs), el actor de amenazas asociado con Rhadamanthys, que fue observado publicitando tan recientemente como el mes pasado.

Europol también reveló que el principal sospechoso del robo de información tenía acceso a no menos de 100.000 monederos de criptomonedas pertenecientes a las víctimas. Esto podría ascender a millones de euros.

Las autoridades que participaron en el esfuerzo incluyeron agencias policiales de Australia, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, los Países Bajos y los Estados Unidos. 

Al mismo tiempo, el Departamento de Justicia de Estados Unidos (DOJ), el FBI y el Servicio Secreto crearon un nuevo grupo de trabajo interinstitucional para combatir las estafas de criptomonedas dirigidas a los estadounidenses.

Según informó Cryptopolitan Cryptopolitantrabajo declaró que los delincuentes que dirigen las operaciones suelen operar desde complejos en el sudeste asiático. Los trabajadores de estos sitios son en su mayoría víctimas de trata de personas, retenidos contra su voluntad, maltratados y custodiados por grupos armados.

La fiscal estadounidense Jeanine Ferris Pirro dijo: “Las estimaciones debido a la falta de información podrían ser hasta 15 veces más de 9 mil millones de dólares, y comienza con los dispositivos que usted y yo tenemos y usamos todos los días para realizar operaciones bancarias, enriquecer nuestras vidas, comunicarnos con nuestros amigos y seres queridos”