Orgány činné v trestním řízení po celém světě, koordinované Europolem, rozbily tři velké skupiny kyberzločinců v nedávné operaci zvané Operation Endgame. Cílem byl informátor Rhadamanthys, botnet Elysium a vzdálený trojský kůň VenomRAT – všichni klíčoví hráči mezinárodního kyberzločinu. Během operace bylo zabaveno více než 1000 serverů a 3. listopadu byl v Řecku zatčen jeden z hlavních podezřelých za VenomRAT.
Tato operace zdůrazňuje důležitou realitu: demontáž infrastruktury pro počítačovou kriminalitu je neustálý boj, často popisovaný jako hra Groundhog Day. Jakmile je jedna hrozba zneškodněna, rychle se objeví jiná, aby zaujala její místo.
Cíle: Co udělali?
Rhadamanthys je informátor navržený ke krádeži citlivých dat z infikovaných zařízení, včetně hesel a klíčů k kryptoměnovým peněženkám. Malware si získal oblibu po odstranění Lummy, dalšího prominentního informátora, počátkem roku 2023. Do října Rhadamanthys kompromitoval více než 12 000 obětí a stal se jedním z nejběžnějších malwarů, které kradou informace. Podezřelý za Rhadamanthys měl přístup k více než 100 000 kryptoměnovým peněženkám, které mohou mít hodnotu milionů eur.
Elysium fungovalo jako botnet – síť kompromitovaných počítačů vzdáleně ovládaných útočníky. Botnety se používají pro různé škodlivé aktivity, včetně útoků distribuovaného odmítnutí služby (DDoS) a spamových kampaní.
VenomRAT je trojan pro vzdálené ovládání (RAT), který útočníkům umožňuje získat plnou kontrolu nad infikovanými systémy. RAT se často používají pro špehování, krádeže dat a nasazení dalšího malwaru.
Adaptační cyklus
Vznik Rhadamanthys po odstranění Lummy ilustruje klíčový trend v kyberzločinu: zločinci se rychle přizpůsobují. Když je jeden nástroj neutralizován, nahradí ho jiný, zprvu často méně známý, aby zaplnil prázdnotu. Proto orgány činné v trestním řízení a firmy zabývající se kybernetickou bezpečností popisují boj jako nikdy nekončící.
Rhadamanthys byl zpočátku distribuován prostřednictvím škodlivé reklamy na Googlu, než si získal popularitu na podzemních fórech. Prudký nárůst počtu obětí od demontáže Lummy ukazuje, jak snadno mohou zločinci přejít na nové nástroje.
Realita “Groundhog Day”
Ryan English, výzkumník z Black Lotus Labs, vysvětluje, že jde o zásadní problém kyberzločinu. “Víme, že ostatní zaujmou jejich místo, takže jen sledujeme, kdo z toho vzejde,” řekl. Průmysl může zastavit hrozby pouze tehdy, když se objeví, ale hlavní problém zůstává: zločinci vždy najdou nové způsoby, jak využít zranitelnosti.
Odstranění těchto operací je významným vítězstvím pro vymáhání práva, ale neřeší širší problém. Oblast hrozeb se neustále mění a nevyhnutelně se objeví nové kmeny malwaru, které nahradí ty, které byly neutralizovány.
Proč je to důležité
Pokračující cyklus zastavování a znovuobjevování zdůrazňuje potřebu aktivnějšího přístupu ke kybernetické bezpečnosti. Pouhé zastavení existujících hrozeb nestačí: organizace a jednotlivci musí upřednostňovat prevenci, školení a správné bezpečnostní postupy. Boj proti počítačové kriminalitě není jen o dopadení zločinců, ale také o omezení příležitostí k úspěchu.
Skutečnost, že Rhadamanthys rychle zaplnil prázdnotu po Lummě, ukazuje, že samotná technická opatření k vítězství ve válce nestačí. Základní problém slabých bezpečnostních postupů, phishingových útoků a neopravených zranitelností zůstává nevyřešen.
V konečném důsledku je boj proti počítačové kriminalitě maraton, nikoli sprint. Vymáhání práva a odvětví kybernetické bezpečnosti se musí i nadále přizpůsobovat a inovovat, ale odpovědnost za svou vlastní bezpečnost musí převzít i jednotlivci a organizace.
