- EuropolがRhadamanthys、VenomRAT、Elysiumを撹乱、サーバーやドメインを押収し、容疑者1名を逮捕
- マルウェアのインフラには数百万件の盗まれた認証情報と10万件以上の暗号資産ウォレットが含まれていた
- Operation Endgameは以前にも主要なマルウェアネットワークを解体しているが、DanaBotのように復活したものもある
Europolは、現在活動中の最大規模のマルウェアオペレーションの活動を撹乱することを目的に、Operation Endgameの最新フェーズを開始しました。
Europolのウェブサイトに掲載されたプレスリリースによると、11月10日から13日にかけて、同機関の捜査員がヨーロッパのいくつかの国の国家法執行機関と協力し、Rhadamanthys、VenomRAT、Elysiumを撹乱したとしています。
この活動により、1,000台以上のサーバーが停止または撹乱され、20のドメインが押収され、11か所(ドイツとギリシャで各1か所、オランダで9か所)が捜索されました。さらに、VenomRATの運営に関与していたとみられる1名が逮捕されました。
Europolの活動
解体されたマルウェアのインフラは、「数百万件の盗まれた認証情報を含む数十万台の感染コンピュータ」で構成されていたとEuropolは説明しています。
多くの被害者は自分が標的にされていることに気付いていなかったと付け加え、情報窃取型マルウェアの主犯格は「10万件以上の暗号資産ウォレット」にアクセスでき、数百万ユーロ相当の価値がある可能性があると述べています。
この作戦のニュースは2日前に初めて明らかになり、独立系セキュリティ研究者がRhadamanthysのユーザーがプラットフォームから締め出されているのを目撃しました。これらのユーザーやマルウェアの運営者は、ドイツ当局による撹乱を非難し、ユーザーに足跡を隠すよう呼びかけていました。
Operation Endgameの直近の活動は2025年5月で、EuropolとEurojustがランサムウェアのキルチェーンを解体しました。その作戦では、警察が約300台のサーバーを押収し、650のドメインを停止、20名に対して国際逮捕状を発行しました。警察はまた、さまざまな暗号資産で350万ユーロを押収しました。
マルウェアオペレーションの撹乱は称賛に値しますが、逮捕がなければ、いずれ再び復活するのは時間の問題です。5月に停止されたオペレーションのひとつであるDanaBotは、6か月後にインフラを再構築し、新たな暗号資産ウォレットで盗んだ資金を送金するなどして復活しました。
Operation Endgameによって撹乱されたその他のバックドア、マルウェア、ローダーのオペレーションには、IcedID、Smokeloader、Qakbot、Trickbotなどがあります。
