国際警察はラダマンテュス情報窃取マルウェアのオペレーションを解体し、11月10日から13日にかけて協調して行われた一斉捜査でマルウェアに関連する1,025台のサーバーを押収しました。
このインフラ摘発は、ユーロポールとユーロジャストが調整する長期的な「オペレーション・エンドゲーム」の一環であり、世界中で数百万件の盗まれた認証情報を含む数十万台の感染コンピュータに影響を与えました。
「多くの被害者は自分たちのシステムが感染していることに気付いていませんでした」とオペレーションは述べています。
本日の発表は、サイバー犯罪フォーラムが欧州の法執行機関によるインフラ押収を報告した後の、ラダマンテュス摘発の最近の報道を裏付けるものです。
マルウェアの管理者は11月11日、「安全上の理由」で顧客にツールの利用停止を呼びかけ、数時間後にオペレーションのオニオンサイトがダウンしました。
典型的な「オペレーション・エンドゲーム」の手法として、当局は作戦中に得られた情報を示唆する得意げなアニメーション動画を公開しました。動画では、単独の管理者が最も価値のある秘密や暗号通貨の鍵を個人的な利益のために抜き取り、顧客にはあまり価値のないデータだけを渡す様子が描かれています。これは犯罪組織内の信頼を損なうことを狙った戦術です。
摘発に協力したShadowserver Foundationによると、当局はラダマンテュスのデータベースにアクセスし、2025年3月から11月の間に226カ国で52万5,000件以上の感染を明らかにし、8,600万件以上の個別記録を収集しました。
「情報窃取マルウェアの主犯は、被害者が所有する10万件以上の暗号ウォレットにアクセスでき、その価値は数百万ユーロに上る可能性があります」とオペレーション・エンドゲームのチームは声明で述べています。
インフラは妨害されたものの、管理者と顧客は依然として逃亡中です。アニメーション動画は、関係者の特定に向けて一般からの協力を呼びかける形で締めくくられています。
2022年に初めて発見されたラダマンテュスは、犯罪地下組織で急速に定番の認証情報窃取ツールとなりました。Proofpointによれば、月額300~500ドルで利用でき、カスタム構成はさらに高額でした。犯罪者は主にメール、ウェブインジェクト、マルバタイジングキャンペーンを通じて配布していました。
Proofpointは、2025年のラダマンテュス活動が過去のどの年よりも多かったと報告しており、その要因としてマルウェア配布に侵害されたウェブサイトの利用増加を挙げています。
このオペレーションではElysiumボットネットやVenomRATマルウェアも標的となり、インフラが押収され、11月3日にはギリシャでVenomRATの「主犯」とされる容疑者1名が逮捕されました。警察はドイツで1カ所、ギリシャで1カ所、オランダで9カ所、計11カ所を捜索しました。
2024年に開始された「オペレーション・エンドゲーム」は、マルウェアやその配布に使われるボットネットを繰り返し標的にしています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/13/rhadamanthys_takedown/
