当局はこの作戦で1,000台以上のサーバーと20のドメインを押収しました。
米国と他8つの西側諸国政府は、複数の人気サイバー犯罪ツールの背後にあるコンピューターインフラを共同で解体しました。
3日間にわたる作戦で、法執行機関がRhadamanthysインフォスティーラー、VenomRATリモートアクセス型トロイの木馬、Elysiumボットネットに関連する1,000台以上のサーバーと20のドメインを停止しました。ギリシャ警察はVenomRATの疑わしい運営者を逮捕しました。
「解体されたマルウェアインフラは、数十万台の感染コンピューターと数百万件の盗まれた認証情報で構成されていました」と、ハーグの本部から作戦を指揮したEuropolは声明で述べました。「[Rhadamanthys]インフォスティーラーの主犯は、被害者が所有する10万件以上の暗号ウォレットにアクセスでき、その価値は数百万ユーロに上る可能性があります。」
オーストラリア、カナダ、デンマーク、フランス、ドイツ、ギリシャ、リトアニア、オランダ、米国がこの摘発に参加しました。これはオペレーション・エンドゲームの最新フェーズであり、サイバー犯罪組織の壊滅を目指す多国間の継続的な取り組みです。CrowdStrike、Lumen、Shadowserverなどのサイバーセキュリティ企業、通信会社、独立系研究機関が作戦を支援しました。
法執行機関の撹乱は、Europolが「国際的なサイバー犯罪で重要な役割を果たしていた」とするインフラを標的としました。
Rhadamanthysインフォスティーラーは複数のハッカー集団の活動に関与しており、階層型の価格モデルや多様なモジュールから、高度な開発・販売体制がうかがえます。その開発者は難読化機能を組み込み、定期的に機能をアップグレードしており、ハッカーは標的に応じて異なる方法で展開できました。
VenomRATは、ProofpointがTA558として追跡している脅威アクターによるホテルやその他のホスピタリティ企業への攻撃で頻繁に登場しました。このグループは、Proofpointが2022年以降に観測したVenomRATの展開の58%を占めており、主に中南米の組織を標的としていますが、北米や西ヨーロッパの組織も標的にしてきました。ただし、Proofpointによれば「2025年9月以降、VenomRATがキャンペーンデータで観測されていない」ことから、他のマルウェアに移行した可能性もあります。
CrowdStrikeの対敵対者作戦責任者アダム・マイヤーズ氏は、今回の作戦について「法執行機関と民間部門が協力すれば何が可能かを示している」と述べました。
「ランサムウェアのキルチェーンのフロントエンド――初期アクセスブローカー、ローダー、インフォスティーラー――を、運用者そのものだけでなく撹乱することで、eCrimeエコシステム全体に波及効果が生まれる」とマイヤーズ氏は声明で述べました。
翻訳元: https://www.cybersecuritydive.com/news/operation-endgame-third-phase-infostealer-rat-botnet/805549/
