Parece que o jogo virou para os operadores do Rhadamanthys, um conhecido malware de roubo de informação. Vários "clientes" desta operação de Malware-as-a-Service (MaaS) estão a relatar que perderam o acesso aos seus servidores e painéis de controlo.
O Rhadamanthys é um infostealer que rouba credenciais e cookies de autenticação de navegadores web, clientes de email e outras aplicações. Tipicamente, é distribuído através de campanhas que promovem cracks de software, vídeos falsos no YouTube ou anúncios maliciosos em motores de busca.
Os cibercriminosos pagavam uma subscrição mensal ao criador do malware para terem acesso à ferramenta, suporte técnico e a um painel web usado para recolher os dados roubados das vítimas.
Sinais de pânico nos fóruns de hacking
A disrupção foi reportada por investigadores de cibersegurança, incluindo g0njxa e Gi7w0rm, que monitorizam estas operações. Segundo eles, os próprios criminosos estão a alertar que as autoridades ganharam acesso aos seus painéis de administração.
Em vários fóruns de hacking, alguns subscritores do Rhadamanthys queixam-se de ter perdido o acesso SSH aos seus painéis. O método de login terá sido alterado, passando de uma simples password de root para um sistema baseado em certificados.
"Se a tua password não consegue fazer login... O método de login do servidor também foi mudado para o modo de login por certificado, por favor verifica e confirma, se sim, reinstala imediatamente o teu servidor, apaga os vestígios, a polícia alemã está a agir", escreveu um dos clientes.
Outro subscritor confirmou estar com os mesmos problemas: "Confirmo que 'convidados' visitaram o meu servidor e a password foi apagada. O login ao servidor tornou-se estritamente baseado em certificado, por isso tive de apagar tudo imediatamente e desligar o servidor. Aqueles que o instalaram manualmente provavelmente estão ilesos, mas quem o instalou através do 'painel inteligente' foi atingido em força."
Polícia alemã e a "Operation Endgame"
Uma mensagem do próprio criador do Rhadamanthys sugere que a polícia alemã está por trás da interrupção. A suspeita baseia-se no facto de vários painéis alojados em data centers na UE terem registado logins de endereços IP alemães momentos antes de os cibercriminosos perderem o acesso.
O investigador g0njxa confirmou ao BleepingComputer que os sites da operação na rede Tor também estão offline, embora ainda não apresentem qualquer faixa de apreensão policial, tornando incerta a autoria exata da disrupção.
Vários especialistas contactados pelo BleepingComputer acreditam que esta ação pode estar relacionada com um anúncio iminente da Operation Endgame, uma operação policial internacional que tem como alvo precisamente serviços de MaaS.
A Operation Endgame já foi responsável por várias disrupções, incluindo a apreensão de infraestruturas de ransomware e o desmantelamento de operações como IcedID, Pikabot, Trickbot, Bumblebee e SystemBC. O site oficial da Operation Endgame exibe atualmente uma contagem decrescente para uma nova revelação agendada para quinta-feira.
Até ao momento, a polícia alemã, a Europol e o FBI não responderam aos pedidos de comentário.
Nenhum comentário
Seja o primeiro!