Europol ha smantellato oltre 1.000 server utilizzati per eseguire attacchi con tre noti malware (Rhadamanthys, VenomRAT e Elysium), in collaborazione con le forze dell’ordine di 11 paesi e 13 partner privati specializzati in cybersicurezza. L’azione è parte della Operation Endgame avviata oltre un anno fa.
Server per infostealer, RAT e botnet
L’ultima fase dell’operazione è stata eseguita tra il 10 e il 13 novembre. Hanno partecipato le forze dell’ordine e le autorità giudiziarie di Australia, Belgio, Canada, Danimarca, Francia, Germania, Grecia, Lituania, Paesi Bassi, Regno Unito e Stati Uniti, insieme a 13 partner privati: Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, Have I Been Pwned, Spamhaus, DIVD, Trellix e Bitdefender.
È stata smantellata l’infrastruttura formata da oltre 1.025 server e sono stati sequestrati 20 domini utilizzati dai cybercriminali per effettuare attacchi con i tre malware. Rhadamanthys è un infostealer che permette di rubare credenziali, cookie di autenticazione e altri dati. VenomRAT è un Remote Access Trojan che consente di accedere ai dispositivi. Elysium è il malware che aggiunge un dispositivo compromesso all’omonima botnet.
Il 3 novembre è stato arrestato in Grecia il principale sospettato per VenomRAT. Europol sottolinea che sono stati infettati centinaia di migliaia di computer. I cybercriminali hanno rubato milioni di credenziali, incluse quelle di oltre 100.000 wallet di criptovalute con danni economici per milioni di euro. Per verificare se le credenziali sono state compromesse è possibile utilizzare i siti della polizia olandese o di Troy Hunt.
La Operation Endgame non è ovviamente terminata. Sono in corso altre indagini che porteranno a risultati simili. È tuttavia una battaglia senza fine, in quanto i cybercriminali hanno le risorse economiche per creare nuove infrastrutture. Spesso uniscono le forze in “supergruppi”, come il famigerato Scattered Lapsus$ Hunters, nato dalla collaborazione tra Scattered Spider, Lapsus$ e ShinyHunters.