国際的なサイバー犯罪対策作戦「オペレーション・エンドゲーム」
9カ国の法執行機関が協力し、国際的なサイバー犯罪対策作戦「オペレーション・エンドゲーム」の最新段階において、Rhadamanthysインフォスティーラー、VenomRAT、Elysiumボットネットのマルウェア作戦で使用されていた1,000台以上のサーバーを停止させました。この共同作戦は、ユーロポールとユーロジャストが調整し、Cryptolaemus、Shadowserver、Spycloud、Cymru、Proofpoint、CrowdStrike、Lumen、Abuse.ch、HaveIBeenPwned、Spamhaus、DIVD、Bitdefenderといった多数の民間パートナーの支援も受けました。
大規模なインフラ破壊と逮捕
2025年11月10日から14日の間に、警察官はドイツ、ギリシャ、オランダの11か所で捜索を実施し、20のドメインと1,025台のサーバーを押収しました。これらのサーバーは標的となったマルウェア作戦で使用されていたものです。また、この作戦では、2025年11月3日にギリシャでVenomRATリモートアクセス型トロイの木馬に関連する主要な容疑者が逮捕されました。
被害の規模と影響
ユーロポールは木曜日のプレスリリースで、「解体されたマルウェアインフラは、数十万台の感染コンピューターと数百万件の盗まれた認証情報で構成されていた」と述べました。多くの被害者は、自身のシステムが感染していることに気づいていませんでした。インフォスティーラーの主要な容疑者は、これらの被害者に属する10万以上の仮想通貨ウォレットにアクセスしており、その価値は数百万ユーロに上る可能性がありました。
マルウェア開発者の反応と過去の成果
ユーロポールは、コンピューターがこれらのマルウェア株に感染しているかどうかを確認するために、politie.nl/checkyourhackおよびhaveibeenpwned.comの利用を推奨しています。今回の発表は、BleepingComputerが火曜日に報じたRhadamanthysインフォスティーラー作戦の停止を確認するもので、マルウェア・アズ・ア・サービス(MaaS)の顧客はサーバーへのアクセスを失ったと述べています。Rhadamanthysの開発者もTelegramメッセージで、EUデータセンターでホストされていたウェブパネルにドイツのIPアドレスが接続された後、サイバー犯罪者がアクセスを失ったことから、ドイツの法執行機関がこの妨害の背後にいると信じていると述べました。
オペレーション・エンドゲームは、これまでにもIcedID、Bumblebee、Pikabot、Trickbot、SystemBCなど、さまざまなマルウェア作戦で使用されていた100台以上のサーバーを押収するなど、複数の大規模な妨害作戦を成功させてきました。また、ランサムウェアインフラ、AVCheckサイト、Smokeloaderボットネットの顧客とサーバー、およびDanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBCなどの主要なマルウェア作戦も標的としてきました。
関連するサイバー犯罪対策
2024年4月には、ウクライナのサイバー警察がキエフでロシア人男性を逮捕しました。この男性は、ContiおよびLockBitランサムウェア作戦と協力し、マルウェアがアンチウイルスソフトウェアによって検出されないようにする活動を行っていたとされています。