ユーロポール本部が調整した大規模な国際的取り締まりにより、米国および他10カ国の法執行機関は、世界で最も広く使用されているサイバー犯罪用マルウェアオペレーション3件を撹乱しました。11月10日から13日にかけて実施された「オペレーション・エンドゲーム」は、情報窃取型マルウェア「Rhadamanthys」、リモートアクセス型トロイの木馬「VenomRAT」、およびボットネット「Elysium」の無力化に焦点を当てました。これらのツールにより、ハッカーは世界中で数十万台のコンピューターに感染させ、数百万件の機密情報を盗み出していたと当局は述べています。
この取り組みには、オーストラリア、ベルギー、カナダ、デンマーク、フランス、ドイツ、ギリシャ、リトアニア、オランダ、イギリス、アメリカの法執行機関および司法機関が参加しました。ユーロポールによると、この作戦により、11月3日にギリシャでVenomRATの主犯容疑者が逮捕され、ヨーロッパ各地11カ所の家宅捜索、犯罪者が使用していた1,025台のサーバーと20のインターネットドメインの押収または無力化が行われました。さらに、30社以上の民間サイバーセキュリティ企業の協力も調査を後押しし、Crowdstrike、Proofpoint、Bitdefender、Shadowserver Foundationなどの企業が悪質な活動の分析や、被害を受けたネットワーク運営者への通知を支援しました。
この法執行活動は、ランサムウェアやマルウェアのインフラを抑制するための国際的な継続的イニシアチブであるオペレーション・エンドゲームの最新フェーズです。過去のフェーズでは、同様のサイバー犯罪の手助けとなるインフラや過去2年間にわたる標的が取り締まられてきました。関係者によると、今回解体されたインフラには、マルウェアが稼働する数十万台のコンピューターや、数百万件の盗まれた認証情報が含まれていました。
世界中のマルウェア感染データを集約するShadowserver Foundationによれば、同団体は3月から11月にかけて、Rhadamanthys感染に関する警告を175カ国の国家セキュリティ対応チームと1万以上のネットワーク所有者に送信しました。ユーロポールは、情報窃取型マルウェアの主犯容疑者が10万件以上の暗号通貨ウォレットへのアクセスを管理しており、被害額は数百万ユーロに上る可能性があると付け加えました。認証情報やデバイスが侵害された多くの被害者は、自身のシステムが危険にさらされていることに気づかず、運用を続けていたと当局は述べています。
VenomRATは、以前のリモートアクセス型トロイの木馬から進化したもので、月額約150ドルで販売され、主に悪意のあるメール添付ファイルを通じて配布されていました。これにより、攻撃者は感染したコンピューターにバックドアを開き、遠隔操作でデバイスを乗っ取ったり、機密データを流出させたり、追加攻撃を仕掛けたりすることが可能になっていました。
当局はまた、侵害された犯罪サービスの利用者にも連絡を取り、情報提供を呼びかけるとともに、作戦専用のウェブサイトやTelegramチャンネルを通じて一部利用者の身元を公開しました。これらの犯罪者がグローバルなインフラをますます活用する中、当局は今後の摘発でも協調した対応が重要な役割を果たし続けるだろうと示唆しています。
オペレーション・エンドゲームは継続中であり、調査が進む中でさらなる措置が取られる可能性があると当局は示しています。
