Europol desmantela os grupos de malware Rhadamanthys Stealer, Venom RAT e Elysium botnet

A Europol, juntamente com a Eurojust, desativou mais de 1.025 servidores utilizados por três famílias de malware: o ladrão de informações Rhadamanthys, o VenomRAT e as operações do botnet Elysium.

Esta missão faz parte da fase mais recente da Operação Endgame, uma atividade que decorre entre 10 e 13 de novembro, concebida para desmantelar infraestruturas criminosas e combater os facilitadores de ransomware em todo o mundo.

Em comunicado, a Europol afirmou: "A infraestrutura de malware desmantelada consistia em centenas de milhares de computadores infectados contendo vários milhões de credenciais roubadasdent"

A ação conjunta, coordenada pela Europol e pela Eurojust, também contou com o apoio de diversos parceiros privados, incluindo Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD e Bitdefender.

Principal suspeito da Europol por trás do Venom RAT

Segundo a Europol, muitas vítimas desconheciam a infecção. Isso evidenciou a natureza sorrateira dessas ameaças. Os infostealers coletam silenciosamente dados de login, enquanto RATs como o VenomRAT permitem o controle remoto para espionagem ou implantação de ransomware, e botnets como o Elysium amplificam ataques de negação de serviço distribuídos (DDoS) e campanhas de spam.

A ação conjunta teve como alvo a infraestrutura de ransomware, o site da AVCheck, clientes da botnet Smokeloader e servidores. Também interrompeu importantes operações de malware, como DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee e SystemBC.

Além de eliminar os três principais facilitadores do cibercrime, as autoridades também prenderam o principal suspeito por trás do Venom RAT na Grécia, em 3 de novembro. Adicionalmente, mais de 1.025 servidores foram desativados e 20 domínios foram apreendidos.

O Infostealer tinha acesso a 100.000 carteiras de criptomoedas

O anúncio de hoje confirma a interrupção da operação do infostealer Rhadamanthys, com os clientes do malware como serviço afirmando que não têm mais acesso aos seus servidores.

Isso ocorre depois que Rhadamanthys promoveu duas ferramentas em seu site, chamadas Elysium Proxy Bot e Crypt Service. A principal ferramenta de roubo de informações foi atualizada para incluir a capacidade de coletar impressões digitais de dispositivos e navegadores da web, entre outras coisas.

Rhadamanthys tornou-se um dos mais famosos golpistas de informação disponíveis como malware como serviço (MaaS). Foi divulgado pela primeira vez por um agente de ameaças chamado kingcrete2022. A versão 0.9.2 do ladrão de informações é a versão mais recente.

Com o tempo, as habilidades do ladrão evoluíram a ponto de ele conseguir fazer muito mais do que apenas roubar dados. Ele representa uma séria ameaça à segurança pessoal e empresarial. A Recorded Future revelou que a versão 0.7.0 do malware possuía uma nova ferramenta de inteligência artificial (IA) para reconhecimento óptico de caracteres (OCR) capaz de capturar frases-semente de carteiras de criptomoedas.

No entanto, ainda não está claro se a botnet Elysium à qual a Europol se refere é o mesmo serviço de botnet proxy que a RHAD Security (também conhecida como Mythical Origin Labs), o agente de ameaças associado ao Rhadamanthys, que foi observado fazendo propaganda ainda no mês passado.

A Europol também revelou que o principal suspeito por trás do roubo de informações tinha acesso a nada menos que 100.000 carteiras de criptomoedas pertencentes às vítimas. Isso poderia potencialmente render milhões de euros.

As autoridades que participaram da operação incluíram agências de aplicação da lei da Austrália, Canadá, Dinamarca, França, Alemanha, Grécia, Lituânia, Holanda e Estados Unidos. 

Ao mesmo tempo, o Departamento de Justiça dos EUA (DOJ), o FBI e o Serviço Secreto criaram uma nova força-tarefa interinstitucional para combater golpes com criptomoedas direcionados a cidadãos americanos.

Conforme relatado pelo Cryptopolitan, a nova força-tarefa afirmou que os criminosos que comandam as operações geralmente atuam a partir de complexos no Sudeste Asiático. Os trabalhadores nesses locais são, em sua maioria, vítimas de tráfico humano, mantidos em cárcere privado, abusados ​​e vigiados por grupos armados.

A procuradora federal Jeanine Ferris Pirro afirmou: "As estimativas, devido à subnotificação, podem ser até 15 vezes maiores que US$ 9 bilhões, e tudo começa com os dispositivos que você e eu usamos todos os dias para fazer transações bancárias, enriquecer nossas vidas e nos comunicar com nossos amigos e entes queridos."