Rhadamanthysインフォスティーラーの活動停止
Rhadamanthysインフォスティーラーの運用が停止し、このマルウェア・アズ・ア・サービス(MaaS)の多数の「顧客」がサーバーへのアクセスを失ったと報告されています。これは、サイバー犯罪者にとって大きな打撃となる可能性があります。
Rhadamanthysとは
Rhadamanthysは、ブラウザ、メールクライアント、その他のアプリケーションから認証情報や認証クッキーを盗むインフォスティーラー型マルウェアです。通常、ソフトウェアのクラック、YouTube動画、悪意のある検索広告などを通じて配布されます。このマルウェアは、開発者に対し月額料金を支払うことで、マルウェア自体、サポート、そして盗んだデータを収集するためのウェブパネルへのアクセスを提供するサブスクリプションモデルで提供されていました。
混乱の詳細
サイバーセキュリティ研究者のg0njxa氏とGi7w0rm氏(両氏ともRhadamanthysのようなマルウェア運用を監視)によると、この運用に関与するサイバー犯罪者たちは、法執行機関が彼らのウェブパネルにアクセスしたと主張しています。あるハッキングフォーラムの投稿では、一部の顧客がRhadamanthysのウェブパネルへのSSHアクセスを失い、現在は通常のルートパスワードではなく証明書でのログインが必要になっていると述べています。
- ある顧客は、「パスワードでログインできない場合、サーバーのログイン方法も証明書ログインモードに変更されました。確認し、もしそうなら、すぐにサーバーを再インストールし、痕跡を消してください。ドイツ警察が動いています」と書き込んでいます。
- 別のRhadamanthysの購読者は、同様の問題に直面していると主張し、「私のサーバーにゲストが訪問し、パスワードが削除されたことを確認します。rootサーバーへのログインは厳密に証明書ベースになったため、すぐにすべてを削除し、サーバーの電源を切らなければなりませんでした。手動でインストールした者は無傷だったかもしれませんが、『スマートパネル』を通じてインストールした者は大きな打撃を受けました」と述べています。
Rhadamanthysの開発者からのメッセージによると、EUのデータセンターでホストされているウェブパネルにドイツのIPアドレスがログインしていたことから、ドイツの法執行機関が今回の混乱の背後にいると考えているとのことです。
Operation Endgameとの関連性
g0njxa氏はBleepingComputerに対し、マルウェア運用のTorオニオンサイトもオフラインになっているが、現時点では警察による押収バナーは表示されていないため、誰が今回の混乱の背後にいるのかは不明だと語りました。BleepingComputerに話を聞いた複数の研究者は、今回の混乱が、マルウェア・アズ・ア・サービス運用を標的とした進行中の法執行機関の活動であるOperation Endgameからの今後の発表に関連している可能性があると考えています。
Operation Endgameは、その開始以来、ランサムウェアインフラ、AVCheckサイト、SmokeLoader、DanaBot、IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBCなどのマルウェア運用に対して数々の混乱を引き起こしてきました。Operation Endgameのウェブサイトには現在、木曜日に新たな行動が公開されることを示すタイマーが表示されています。
当局からのコメント
BleepingComputerはドイツ警察、ユーロポール、そしてFBIに連絡を取りましたが、現時点では返答は得られていません。