Rhadamanthysインフォスティーラーの運用が妨害され、マルウェア・アズ・ア・サービスの多数の「顧客」が自分のサーバーへアクセスできなくなったと報告しています。

Rhadamanthysは、ブラウザ、メールクライアント、その他のアプリケーションから認証情報や認証クッキーを盗むインフォスティーラーマルウェアです。主にソフトウェアクラック、YouTube動画、悪意のある検索広告として宣伝されるキャンペーンを通じて配布されています。

このマルウェアはサブスクリプションモデルで提供されており、サイバー犯罪者はマルウェアへのアクセス、サポート、盗まれたデータを収集するためのウェブパネルの利用権に対して、開発者に月額料金を支払います。

Rhadamanthysのようなマルウェア運用を監視しているサイバーセキュリティ研究者の g0njxaと Gi7w0rmによると、運用に関与しているサイバー犯罪者たちは、法執行機関が自分たちのウェブパネルへアクセスしたと主張しています。

ハッキングフォーラムへの投稿では、一部の顧客がRhadamanthysのウェブパネルへのSSHアクセスを失い、通常のrootパスワードではなく証明書がログインに必要になったと述べています。

「もしパスワードでログインできない場合、サーバーログイン方式も証明書ログインモードに変更されています。ご確認ください。もしそうなら、直ちにサーバーを再インストールし、痕跡を消去してください。ドイツ警察が動いています」と顧客の一人が書いています。

別のRhadamanthysのサブスクライバーも同様の問題を報告しており、自分のサーバーのSSHアクセスも証明書ベースのログインが必要になったと述べています。

「私のサーバーにもゲストが訪れ、パスワードが削除されていました。rootサーバーログインは厳格に証明書ベースになったので、すぐにすべてを削除し、サーバーの電源を切りました。手動でインストールした人はおそらく無事でしたが、『スマートパネル』経由でインストールした人は大きな被害を受けました」と別のサブスクライバーが書いています。

Rhadamanthysの開発者からのメッセージでは、EUのデータセンターにホストされているウェブパネルに、サイバー犯罪者がアクセスを失う前にドイツのIPアドレスからログインがあったため、ドイツの法執行機関が妨害の背後にいると考えていると述べています。

G0njxaはBleepingComputerに対し、マルウェア運用のTorオニオンサイトもオフラインになっているが、現在のところ警察による押収バナーは表示されていないため、誰が妨害の背後にいるのかは不明だと語りました。

BleepingComputerと話した複数の研究者は、この妨害がOperation Endgameによる今後の発表に関連している可能性があると考えています。Operation Endgameはマルウェア・アズ・ア・サービス運用を標的とした法執行機関の継続的な活動です。

Operation Endgameは、開始以来、ランサムウェアインフラや、AVCheckサイト、SmokeLoader、DanaBot、IcedID、Pikabot、Trickbot、Bumblebee、Smokeloader、SystemBCなどのマルウェア運用に対する数多くの妨害を行ってきました。

Operation Endgameのウェブサイトには現在、新たな行動が木曜日に発表されるとするタイマーが表示されています。

BleepingComputerはドイツ連邦刑事庁（BKA）、Europol、FBIに問い合わせましたが、現時点で回答は得られていません。