Endgame 3.0 сложи края на три мащабни киберпрестъпни операции
Мащабна интернационална акция приключи три огромни киберпрестъпни акции, предава Infosecurity-Magazine. Наскоро провелата се с триумф интервенция Endgame 3.0 се простира на територирията на 11 страни. Тя е ориентирана към операторите на три незаконни схеми и зловредните стратегии зад тях: Rhadamanthys, VenomRAT и Elysium Endgame. Разследванията и дейностите на правоприлагащите органи не престават. Поредните сполучливи дейности, свързани с Endgame се организират сред 10-ти и 13-ти този месец. Нанесен е сериозен удар над инфраструктурата и на трите киберпрестъпни мрежи.
Rhadamanthys е опасност, позната от 2022. Обичайният ѝ вектор на разпространяване е посредством GoogleAds и други способи. Традиционно тя работи, като троянски кон, прикрита, като известни приложения (AnyDesk, Zoom, Notepad++ и др.). Отличителното при нея е, че зловредната стратегия бива пакетирана с действителните изпълними файлове на законни стратегии. По този метод, тя не буди съмнение в жертвите си. Още първоначално се популяризира по MaaS (malware-as-a-service) модел с месечен абонамент, започващ от към $250 месечно. Нейната досегаемост я прави привлекателна за доста киберпрестъпни структури. Става дума за модулна и непрекъснато разрастваща се опасност, притежаваща високи равнища на отбрана против разбор и детекция. Основната ѝ функционалност е кражбата на данни от браузъри, криптопортфейли и други
Симптоматично за непрекъснатата ѝ еволюция е версия на Rhadamanthys, в която е включена AI OCR функционалност. Благодарение на нея, Rhadamanthys съумява да „ прочита “ информация от изображения. Една от последните версии на Rhadamanthys взе участие и в известните ClickFix офанзиви.
VenomRAT е зловредна стратегия, рекламирана постоянно като законен инструмент за далечен достъп. Заплахата е позната от 2020 и се популяризира също по MaaS бизнес модела. Става дума за комплицирана и съвременна опасност с мултимодулна конструкция, високи равнища на отбрана и разнородни функционалности. VenomRAT може да краде информация, да записва натисканите клавиши (кийлогинг), преодолява отбраните в Windows, като UAC, експлоатира уязвимости. Освен това, създателите ѝ включват руткит съставен елемент, който скрива процесите и файловете ѝ.
В Endgame 3.0 вземат участие проверяващи органи от осем европейски страни, Съединени американски щати, Австралия и Канада. Операцията е координирана от Европол, Евроджъст, американското правосъдно министерство, ФБР. Операцията е подкрепена от частни киберзащитни организации, като Proofpoint, Bitdefender, Lumen, HaveIBeenPwned, Abuse.ch и други
В хода на интервенцията са конфискувани над 1000 сървъра и над 20 домейна. В Гърция е задържан главният оператор на VenomRAT.
„ Деактивираната инфраструктура на зловредния програмен продукт се състои от стотици хиляди инфектирани компютри, съдържащи няколко милиона откраднати идентификационни записа “, пишат Европол в особено известие. „ Много от жертвите не са и предполагали, че системите им са били инфектирани. Основният обвинен за кражбата на информация е имал достъп до над 100 000 криптопортфейла на стойност евентуално милиони евро “.
По-долу може да видите и разпределението на инфектираните системи с Rhadamanthys в световен мащаб. Източник: The Shadowserver Foundation, една от страните, взела участие в интервенцията.
