9か国の法執行機関は、サイバー犯罪を標的とする国際作戦「オペレーション・エンドゲーム」の最新フェーズにおいて、情報窃取マルウェアRhadamanthys、VenomRAT、そしてElysiumボットネットの運用に使われていた1,000台以上のサーバーを停止させました。
ユーロポールとユーロジャストが調整したこの共同作戦には、Cryptolaemus、Shadowserver、Spycloud、Cymru、Proofpoint、CrowdStrike、Lumen、Abuse.ch、HaveIBeenPwned、Spamhaus、DIVD、Bitdefender など複数の民間パートナーも協力しました。
2025年11月10日から14日にかけて、警察はドイツ、ギリシャ、オランダの11か所を家宅捜索し、20のドメインを押収、標的となったマルウェア運用に使われていた1,025台のサーバーを停止させました。
オペレーション・エンドゲームのこのフェーズでは、VenomRATリモートアクセス型トロイの木馬に関連する重要容疑者が、2025年11月3日にギリシャで逮捕されています。
「今回解体されたマルウェアインフラは、数十万台の感染コンピュータで構成されており、その中には数百万件の盗まれた認証情報が含まれていました」と、ユーロポールは木曜日のプレスリリースで述べています。
「多くの被害者は、自身のシステムが感染していることに気づいていませんでした。インフォスティーラーの主犯格は、被害者に属する10万件以上の暗号資産ウォレットにアクセスでき、その価値は数百万ユーロに上る可能性があります。」
ユーロポールはまた、これらのマルウェアにコンピュータが感染していないか確認するために、politie.nl/checkyourhack および haveibeenpwend.com を利用するよう助言しています。
本日の発表は、マルウェア・アズ・ア・サービスの顧客が自分たちのサーバーにアクセスできなくなったと述べていることから、Rhadamanthysインフォスティーラーの運用が妨害されたとする火曜日のBleepingComputerの報道を裏付けるものです。
Rhadamanthysの開発者もTelegramのメッセージで、EUのデータセンターにホストされていたウェブパネルが、サイバー犯罪者がアクセスを失う直前にドイツのIPアドレスからの接続を記録していたことから、この妨害の背後にはドイツの法執行機関がいると考えていると述べました。
オペレーション・エンドゲームは、これまでに複数の撹乱作戦を実施しており、まずはIcedID、Bumblebee、Pikabot、Trickbot、SystemBC などさまざまなマルウェア運用に使われていた100台以上のサーバーを押収しました。
この共同作戦はさらに、ランサムウェアのインフラや、AVCheckサイト、Smokeloaderボットネットの顧客とサーバー、さらにDanaBot、IcedID、Pikabot、Trickbot、Smokeloader、Bumblebee、SystemBCといった、その他の主要なマルウェア運用も標的としています。
2024年4月には、ウクライナのサイバー警察が、ContiおよびLockBitランサムウェアの運用に協力し、そのマルウェアをアンチウイルスソフトで検出されないようにしていたとして、ロシア人の男をキーウで逮捕しました。
