A Rhadamanthys infostealer egy olyan kártevő, amely hitelesítő adatokat és böngészőből, e-mail kliensekből, valamint más alkalmazásokból származó autentikációs sütiket lop el. Ez a malware-as-a-service (MaaS) modellben működő rosszindulatú program az utóbbi időben jelentős figyelmet kapott, azonban legutóbbi fejlemények szerint a működését sikerült megzavarni, és számos bűnözői “ügyfél” elvesztette hozzáférését a szervereihez.
Mi az a Rhadamanthys infostealer?
A Rhadamanthys egy információlopó (infostealer) típusú malware, amely elsősorban az alábbiakat célozza meg:
- Böngészőkben tárolt jelszavak és hitelesítő adatok
- E-mail kliensekből származó bejelentkezési információk
- Más alkalmazásokban tárolt autentikációs sütik és adatok
A fertőzés általában olyan kampányokon keresztül terjed, amelyek szoftverfeltöréseknek (crackeknek), YouTube videóknak vagy rosszindulatú keresési hirdetéseknek álcázzák magukat. Így a felhasználók könnyen áldozatul eshetnek a kártevőnek anélkül, hogy tudnának róla.
A Rhadamanthys mint szolgáltatás – előfizetéses modell
A Rhadamanthys malware-t fejlesztői előfizetéses rendszerben kínálják a kiberbűnözők számára. Ez azt jelenti, hogy az ügyfelek havi díjat fizetnek a következő szolgáltatásokért:
- Hozzáférés a malware-hez
- Támogatás és frissítések
- Webes kezelőfelület (web panel), ahol az ellopott adatokat gyűjtik és kezelik
Ez a modell lehetővé teszi, hogy még kevésbé technikai tudással rendelkező bűnözők is hatékonyan használják a kártevőt, miközben a fejlesztők folyamatos bevételhez jutnak.
A művelet megzavarása és annak következményei
Kiberbiztonsági kutatók, köztük az ismert g0njxa és Gi7w0rm monitorozták a Rhadamanthys műveletet, és jelentéseik szerint az üzemeltetők arról számoltak be, hogy a rendőrség hozzáférést szerzett webes kezelőfelületeikhez. Több “ügyfél” is arról számolt be egy hackerközösségi fórumon, hogy elvesztették SSH hozzáférésüket szervereikhez.
“Ha nem tudsz bejelentkezni jelszóval, akkor a szerver belépési módja tanúsítvány alapúra változott. Kérlek ellenőrizd ezt, és ha igaz, azonnal telepítsd újra a szervert és töröld az összes nyomot, mert a német rendőrség lépéseket tesz.” – írta egyik felhasználó.
Egy másik előfizető hasonló problémákat tapasztalt:
“Megerősítem, hogy illetéktelenek jártak a szerveremen és törölték a jelszót. A root szerver belépés kizárólag tanúsítvány alapú lett, ezért azonnal töröltem mindent és leállítottam a szervert. Akik manuálisan telepítették a malware-t, valószínűleg megúszták, de akik az ‘okos panelen’ keresztül telepítettek, azok súlyosan megszenvedték.”
Kibervédelmi szakértők véleménye és feltételezett háttér
A Rhadamanthys fejlesztője egy üzenetben azt állította, hogy valószínűleg a német rendőrség áll az incidens mögött. Ezt alátámasztja az is, hogy az EU adatközpontjaiban tárolt web panelekhez német IP-címekről történtek bejelentkezések közvetlenül azelőtt, hogy a bűnözők elvesztették hozzáférésüket.
A g0njxa elmondta a BleepingComputernek, hogy a malware művelet Tor onion oldalai is offline állapotba kerültek. Bár jelenleg nincs rajtuk rendőrségi lefoglalási értesítés (seizure banner), így nem teljesen világos, pontosan ki állhat az akció mögött.
Kapcsolódás az Operation Endgame művelethez
Több kutató szerint ez az incidens összefügghet az Operation Endgame nevű folyamatos rendőrségi akcióval, amely kifejezetten malware-as-a-service szolgáltatások elleni fellépést célozza. Az Operation Endgame számos hasonló műveletet már sikeresen megzavart vagy felszámolt korábban:
- Ransomware infrastruktúrák elleni támadások
- AVCheck oldal
- SmokeLoader
- DanaBot
- IcedID
- Pikabot
- Trickbot
- Bumblebee
- SystemBC malware műveletek
Az Operation Endgame hivatalos weboldalán jelenleg egy visszaszámláló látható, amely szerint újabb akciókról csütörtökön fognak tájékoztatást adni.
Hatósági reakciók és további információk
A BleepingComputer megkereste a német rendőrséget, az Europolt és az FBI-t is további információkért, azonban eddig nem érkezett válasz egyik szervezettől sem.
Záró gondolatok – Mit tanulhatunk ebből?
A Rhadamanthys infostealer művelet megzavarása fontos mérföldkő lehet a kiberbűnözés elleni harcban. Ez jól mutatja, hogy még a jól szervezett malware-as-a-service rendszereket is képesek hatékonyan megtámadni és megbénítani a hatóságok. Ugyanakkor ez figyelmeztetés minden vállalatnak és felhasználónak arra vonatkozóan is, hogy mennyire fontos naprakész védelem alkalmazása és óvatos hozzáállás minden letöltött szoftverrel kapcsolatban.
Ha szeretné követni a legfrissebb kibervédelmi híreket és elemzéseket, maradjon velünk!
