„Rhadamanthys“ informacijos stealer veikla buvo sutrikdyta, nes daugelis kenkėjiškos programos „klientų“ pranešė, kad nebeturi prieigos prie savo serverių.
Rhadamanthys yra informacijos vagystė kenkėjiška programa, kuri vagia kredencialus ir autentifikavimo slapukus iš naršyklių, el. pašto programų ir kitų programų. Jis dažniausiai platinamas per kampanijas, reklamuojamas kaip programinės įrangos įtrūkimai, „YouTube“ vaizdo įrašai arba kenkėjiškos paieškos skelbimai.
Kenkėjiška programa siūloma pagal prenumeratos modelį, kai kibernetiniai nusikaltėliai kūrėjui moka mėnesinį mokestį už prieigą prie kenkėjiškos programos, palaikymą ir interneto skydelį, naudojamą pavogtiems duomenims rinkti.
Pasak kibernetinio saugumo tyrėjų, žinomų kaip g0njxa ir Gi7w0rm, kurie abu stebi kenkėjiškų programų, pvz., Rhadamanthys, operacijas, praneša, kad operacijoje dalyvaujantys kibernetiniai nusikaltėliai teigia, kad teisėsauga gavo prieigą prie jų interneto skydelių.
Įrašuose įsilaužimo forume kai kurie klientai teigia, kad prarado SSH prieigą prie savo Rhadamanthys žiniatinklio skydelių, prie kurių dabar reikia prisijungti, o ne įprasto root slaptažodžio.
„Jei nepavyksta prisijungti prie jūsų slaptažodžio. Prisijungimo prie serverio būdas taip pat pakeistas į prisijungimo prie sertifikato režimą, patikrinkite ir patvirtinkite, jei taip, nedelsdami įdiekite serverį iš naujo, ištrinkite pėdsakus, veikia Vokietijos policija”, – rašė vienas iš klientų.
Kitas „Rhadamanthys“ abonentas teigė, kad turi tas pačias problemas, nes jų serverio SSH prieigai dabar taip pat reikia sertifikatais pagrįstų prisijungimų.
„Patvirtinu, kad svečiai lankėsi mano serveryje ir slaptažodis buvo ištrintas.rootServer prisijungimas tapo griežtai sertifikato pagrindu, todėl turėjau iš karto viską ištrinti ir išjungti serverį. Tie, kurie jį įdiegė rankiniu būdu, tikriausiai liko nenukentėję, tačiau tie, kurie jį įdiegė per „išmanųjį skydelį”, patyrė didelį smūgį”, – rašė kitas prenumeratorius.
„Rhadamanthys“ kūrėjo pranešime sakoma, kad jie mano, kad už sutrikimo slypi Vokietijos teisėsauga, nes ES duomenų centruose esančiose žiniatinklio plokštėse buvo prisijungę vokiški IP adresai, kol kibernetiniai nusikaltėliai neteko prieigos.
G0njxa sakė „BleepingComputer“, kad „Tor onion“ svetainės, skirtos kenkėjiškų programų veikimui, taip pat yra neprisijungusios, tačiau šiuo metu jos neturi policijos konfiskavimo reklamjuostės, todėl neaišku, kas tiksliai slypi už sutrikimo.
Keli tyrėjai, kalbėję su „BleepingComputer“, mano, kad šis sutrikimas gali būti susijęs su būsimu „Operation Endgame“ pranešimu, vykstančiu teisėsaugos veiksmu, nukreiptu į kenkėjiškų programų kaip paslaugos operacijas.
„Operation Endgame“ nuo tada, kai ji buvo paleista, trukdo daugybei sutrikimų, įskaitant ransomware infrastruktūrą ir „AVCheck“ svetainę, „SmokeLoader“, „DanaBot“, „IcedID“, „Pikabot“, „Trickbot“, „Bumblebee“, „Smokeloader“ ir „SystemBC“ kenkėjiškų programų operacijas.
„Operation Endgame“ svetainėje šiuo metu yra laikmatis, nurodantis, kad naujas veiksmas bus atskleistas ketvirtadienį.
„BleepingComputer“ susisiekė su Vokietijos policija, Europolu ir FTB, tačiau atsakymo kol kas negavo.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape aprašomos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
