Europol, insieme a Eurojust, ha disattivato oltre 1.025 server utilizzati da tre famiglie di malware: Rhadamanthys infostealer, VenomRAT e le operazioni malware della botnet Elysium.
Questa missione fa parte dell'ultima fase dell'Operazione Endgame, un'attività che si svolgerà tra il 10 e il 13 novembre, progettata per smantellare le infrastrutture criminali e combattere i responsabili del ransomware in tutto il mondo.
In una dichiarazione, Europol ha affermato: "L'infrastruttura malware smantellata consisteva in centinaia di migliaia di computer infetti contenenti diversi milioni di credenziali rubatedent.
L'azione congiunta, coordinata da Europol ed Eurojust, è stata supportata anche da diversi partner privati, tra cui Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD e Bitdefender.
Il principale sospettato dell'Europol dietro Venom RAT
Secondo Europol, molte vittime non erano a conoscenza delle infezioni. Ciò ha evidenziato la natura subdola di queste minacce. Gli infostealer raccolgono silenziosamente i dati di accesso, mentre i RAT come VenomRAT consentono il controllo remoto a fini di spionaggio o distribuzione di ransomware, e le botnet come Elysium amplificano gli attacchi DDoS (Distributed Denial-of-Service) e le campagne di spam.
L'azione congiunta ha preso di mira l'infrastruttura ransomware, il sito AVCheck, i clienti della botnet Smokeloader e i server. Ha inoltre bloccato importanti operazioni malware, come DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee e SystemBC.
Oltre ad aver eliminato i tre principali responsabili della criminalità informatica, il 3 novembre le autorità hanno anche arrestato in Grecia il principale sospettato di Venom RAT. Inoltre, sono stati disattivati più di 1.025 server e sono stati sequestrati 20 domini.
Infostealer aveva accesso a 100.000 portafogli crittografici
L'annuncio di oggi conferma l'interruzione dell'attività di infostealer Rhadamanthys, con i clienti del malware-as-a-service che hanno dichiarato di non avere più accesso ai loro server.
Questo dopo che Rhadamanthys ha promosso due strumenti sul suo sito web, denominati Elysium Proxy Bot e Crypt Service. Il principale strumento di furto di informazioni era stato aggiornato per includere, tra le altre cose, la possibilità di raccogliere impronte digitali da dispositivi e browser web.
Rhadamanthys è diventato uno dei più famosi truffatori di informazioni disponibile come malware-as-a-service (MaaS). È stato pubblicizzato per la prima volta da un autore di minacce di nome kingcrete2022. La versione 0.9.2 di questo stealer è l'ultima versione.
Nel corso del tempo, le capacità degli stealer si sono evolute al punto da poter fare molto di più che rubare dati. Rappresentavano una seria minaccia per la sicurezza sia personale che aziendale. Recorded Future ha rivelato che la versione 0.7.0 del malware includeva un nuovo strumento di intelligenza artificiale (IA) per il riconoscimento ottico dei caratteri (OCR) in grado di catturare le frasi seed dei wallet di criptovalute.
Tuttavia, non è ancora chiaro se la botnet Elysium a cui fa riferimento Europol sia lo stesso servizio botnet proxy di RHAD Security (noto anche come Mythical Origin Labs), l'attore della minaccia associato a Rhadamanthys, la cui pubblicità è stata osservata fino al mese scorso.
L'Europol ha inoltre rivelato che il principale sospettato dietro l'infostealer aveva accesso a non meno di 100.000 portafogli crittografici appartenenti alle vittime. Il valore potrebbe potenzialmente ammontare a milioni di euro.
Tra le autorità che hanno preso parte all'iniziativa figurano le forze dell'ordine di Australia, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi e Stati Uniti.
Contemporaneamente, il Dipartimento di Giustizia degli Stati Uniti (DOJ), l'FBI e i Servizi Segreti hanno creato una nuova task force interagenzia per combattere le truffe basate sulle criptovalute che prendono di mira gli americani.
Come riportato da Cryptopolitan, la nuova task force ha affermato che i criminali che gestiscono le operazioni operano spesso da complessi nel Sud-est asiatico. I lavoratori nei siti sono per lo più vittime della tratta di esseri umani, trattenuti contro la loro volontà, abusati e sorvegliati da gruppi armati.
Il procuratore statunitense Jeanine Ferris Pirro ha affermato: "Le stime dovute alla sottostima potrebbero ammontare a 15 volte più di 9 miliardi di dollari, e tutto inizia con i dispositivi che tu ed io possediamo e utilizziamo ogni giorno per effettuare le nostre operazioni bancarie, per arricchire le nostre vite, per comunicare con i nostri amici e i nostri cari"
