Οι αναφορές για μια πιθανή επιχείρηση επιβολής του νόμου κατά της υποδομής Rhadamanthys Stealer έχουν δημιουργήσει κύματα στην κοινότητα της κυβερνοασφάλειας.
Ο κλέφτης πληροφοριών, ο οποίος δραστηριοποιείται στο τοπίο απειλών εδώ και αρκετούς μήνες, φαίνεται να έχει υποστεί μεγάλη διακοπή στους διακομιστές εντολών και ελέγχου του.
Οι χρήστες της πλατφόρμας malware-as-a-service έχουν αναφέρει δυσκολίες πρόσβασης στους πίνακες ελέγχου τους, ενώ οι κύριοι τομείς onion που σχετίζονται με το Rhadamanthys παραμένουν μη διαθέσιμοι.
Η κατάσταση ήρθε στο φως όταν ο διαχειριστής κακόβουλου λογισμικού εξέδωσε ένα επείγον μήνυμα στους πελάτες, συμβουλεύοντάς τους να διακόψουν τις λειτουργίες τους και να επανεγκαταστήσουν αμέσως τους διακομιστές.
Αυτή η ασυνήθιστη οδηγία υποδηλώνει ότι η υποδομή μπορεί να έχει παραβιαστεί ή να έχει εξαγοραστεί από τις αρχές.
Ο χρόνος και η φύση αυτών των γεγονότων υποδηλώνουν μια συντονισμένη προσπάθεια απομάκρυνσης, αν και επίσημη επιβεβαίωση από τις υπηρεσίες επιβολής του νόμου δεν έχει ακόμη δημοσιευτεί.
Ο αναλυτής πληροφοριών απειλών Gi7w0rm, ο οποίος παρακολουθούσε στενά την κατάσταση, αναφέρθηκε ότι οι τομείς Rhadamanthys φαίνεται να βρίσκονται υπό ενεργό έλεγχο επιβολής του νόμου.
Ο αναλυτής σημείωσε επίσης ότι οι πελάτες συμβουλεύονταν να διαγράψουν όλους τους διακομιστές. Ερευνητής ασφαλείας g0njxa επιβεβαιωμένος πολλαπλές αναφορές για τη διακοπή της υποδομής, δηλώνοντας ότι οι χρήστες αντιμετώπιζαν προβλήματα σύνδεσης στους πίνακες ελέγχου τους.
Διαταραχή υποδομής και λειτουργικές επιπτώσεις
Η προφανής κατάσχεση έχει δημιουργήσει άμεσα προβλήματα στους παράγοντες απειλών που βασίζονται στον Rhadamanthys για τις κακόβουλες επιχειρήσεις τους.
Ο κλέφτης, γνωστός για την ικανότητά του να εξάγει ευαίσθητα δεδομένα, όπως διαπιστευτήρια, πορτοφόλια κρυπτονομισμάτων και πληροφορίες προγράμματος περιήγησης, λειτουργεί μέσω ενός δικτύου διακομιστών εντολών και ελέγχου.
Όταν αυτοί οι διακομιστές τίθενται εκτός σύνδεσης ή υπάγονται στον έλεγχο επιβολής του νόμου, ολόκληρη η λειτουργία καθίσταται αναποτελεσματική. Τα κλεμμένα δεδομένα δεν μπορούν να μεταδοθούν πίσω στους εισβολείς και οι νέες μολύνσεις δεν μπορούν να λάβουν ενημερωμένες οδηγίες ή διαμορφώσεις.
Η οδηγία του διαχειριστή για επανεγκατάσταση διακομιστών υποδηλώνει μια προσπάθεια ανασυγκρότησης της υποδομής σε νέα συστήματα χωρίς συμβιβασμούς.
Ωστόσο, αυτή η διαδικασία απαιτεί σημαντική προσπάθεια και μπορεί να αφήσει την επιχείρηση ευάλωτη κατά τη μεταβατική περίοδο.
Για οργανισμούς που προηγουμένως είχαν στοχοποιηθεί από το Rhadamanthys, αυτή η διαταραχή παρέχει ένα παράθυρο ευκαιρίας για να ενισχύσουν την άμυνά τους προτού οι παράγοντες της απειλής μπορέσουν να αποκαταστήσουν πλήρως τις δραστηριότητές τους.
