Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Онлайн-запуск MaxPatrol 360

Единый центр управления для SOС от Positive Technologies. Зарегистрироваться

Когда ты крутой взломщик, но плохой кодер. История о том, как админка вируса превратилась в проходной двор

leer en español

Rhadamanthys SANS CTI Summit Censys инфостилер API кража данных киберпреступность
Когда ты крутой взломщик, но плохой кодер. История о том, как админка вируса превратилась в проходной двор
Rhadamanthys SANS CTI Summit Censys инфостилер API кража данных киберпреступность

Оказывается, даже в самых защищённых системах всегда найдётся лазейка для опытных аналитиков.

image

Уязвимость в панели управления инфостилером Rhadamanthys неожиданно открыла редкое окно для защиты жертв, хоть и не принесла громкой победы над злоумышленниками. История, о которой рассказали на SANS CTI Summit 2026, показывает менее заметную сторону борьбы с киберпреступностью: даже ценные находки нередко упираются в границы полномочий частных компаний и не позволяют быстро остановить всю операцию.

Rhadamanthys появился на рынке инфостилеров летом 2022 года и быстро занял место среди инструментов для кражи логинов, паролей, данных браузеров, криптокошельков и других чувствительных файлов. Подобные журналы заражений затем становятся товаром на подпольных площадках, где украденные учётные записи перепродают для новых атак.

Авторы доклада описали слабое место в ранних версиях веб-панелей Rhadamanthys. Обычно операторам требовались логин и пароль, чтобы попасть в интерфейс, но часть API-запросов оставалась доступной без проверки. Такой просчёт позволял просматривать сведения о заражениях и выгружать данные прямо с сервера управления.

Команда специалистов и доверенных партнёров решила использовать доступ не для вмешательства в чужую инфраструктуру, а для снижения ущерба. С ноября 2022 года по начало января 2023 года группа собирала недавно похищенные учётные данные, которые появлялись на уязвимых панелях, а затем передавала сведения через существующие каналы оповещения пострадавших и реагирования. На пике работы массив наблюдений охватывал 303 сервера управления и более 70 тысяч журналов заражений.

Полноценного срыва деятельности Rhadamanthys операция не принесла. Вредонос продолжил работать, а после исправления ошибки и перехода операторов на новые версии доступ к данным исчез. По словам автора исследования, в подобной ситуации частный сектор может использовать шанс для уменьшения последствий, но не получает права самостоятельно менять чужие системы или выводить инфраструктуру из строя.

История Rhadamanthys стала примером того, как ограничены возможности частных компаний без участия правоохранительных органов. Для долговременного эффекта нужны координация с теми, кто может действовать в правовом поле, уведомлять жертв в крупном масштабе и сохранять доказательства.

На фоне совместных международных операций вроде Endgame и Cronos случай с Rhadamanthys показывает другую реальность: заметный результат в кибербезопасности часто выглядит не как громкое отключение сети злоумышленников, а как точечное и аккуратное снижение ущерба.