SSH больше не работает, сертификаты изменены и IP из Германии в логах. Хакеры жалуются на взлом своих админ-панелей

leer en español

Rhadamanthys Operation Endgame Tor Германия вредоносное ПО Европол
SSH больше не работает, сертификаты изменены и IP из Германии в логах. Хакеры жалуются на взлом своих админ-панелей
Rhadamanthys Operation Endgame Tor Германия вредоносное ПО Европол

Полиция (вероятно) сломала «вирус-как-услугу» Rhadamanthys.

image

Операция по противодействию вредоносному ПО Rhadamanthys привела к масштабному сбою в его инфраструктуре: многочисленные пользователи, арендовавшие вредонос по подписке, сообщили о потере доступа к своим серверам. Судя по всему, в их панели управления проникли представители правоохранительных органов, что вызвало тревожную реакцию в теневых сообществах.

Rhadamanthys представляет собой вредоносное ПО, специализирующееся на похищении данных — учётных записей, токенов аутентификации и куки-файлов из браузеров, почтовых клиентов и других программ. Его распространение чаще всего осуществляется через поддельные «кряки» для программ, вредоносные рекламные ссылки и видеоролики на YouTube. Программа работает по модели «вредонос как услуга» — за ежемесячную плату злоумышленники получают доступ к коду, поддержку и панели для сбора украденной информации.

В последние дни на хакерских форумах начали появляться жалобы со стороны клиентов Rhadamanthys, утверждающих, что привычный вход через SSH оказался недоступен, а авторизация теперь требует сертификатов. Некоторые участники уверены, что за вмешательством стоит немецкая полиция, поскольку подозрительные подключения с IP-адресов Германии фиксировались незадолго до утраты доступа. Разработчик вредоносной программы также подтвердил, что панели, размещённые в дата-центрах на территории Евросоюза, подверглись несанкционированному входу.

Один из пользователей, столкнувшихся с проблемой, рассказал, что после удаления пароля и перехода сервера в режим аутентификации по сертификату ему пришлось срочно отключить машину и стереть все следы. По его словам, особенно пострадали те, кто использовал «умную» панель установки, тогда как вручную установленные экземпляры могли остаться незамеченными.

Также стало известно, что onion-сайты Rhadamanthys в сети Tor сейчас недоступны, однако на них пока нет признаков официального захвата, что делает источник атаки не до конца понятным. По словам наблюдающих за операцией исследователей, ситуация может быть связана с грядущим заявлением от команды Operation Endgame — международной инициативы правоохранителей, направленной против сетевой инфраструктуры распространителей вредоносного ПО.

Ранее под удар этой операции уже попадали различные вредоносы и сервисы, в том числе SmokeLoader, Trickbot, IcedID, Bumblebee и AVCheck. На сайте самой инициативы в настоящий момент запущен таймер до следующего крупного анонса, который, как ожидается, состоится в четверг. Представители BleepingComputer попытались получить комментарии у немецкой полиции, Europol и ФБР, однако ответа пока не последовало.