Wetshandhavingsinstanties over de hele wereld, gecoördineerd door Europol, hebben drie grote cybercriminaliteitsoperaties ontmanteld in een recent optreden genaamd ‘Operatie Endgame’. Tot de doelwitten behoorden onder meer de Rhadamanthys-infostealer, het Elysium-botnet en de VenomRAT trojan voor externe toegang – allemaal belangrijke spelers in de internationale cybercriminaliteit. Tijdens de operatie werden meer dan 1.000 servers in beslag genomen en op 3 november werd in Griekenland één hoofdverdachte achter VenomRAT gearresteerd.
De operatie benadrukt een cruciale realiteit: het ontmantelen van de infrastructuur voor cybercriminaliteit is een voortdurende strijd, vaak omschreven als een ‘whack-a-mole’-scenario. Zodra de ene dreiging is geneutraliseerd, verschijnt er snel een andere die zijn plaats zal innemen.
De doelen: wat waren ze aan het doen?
Rhadamanthys is een infostealer die is ontworpen om gevoelige gegevens van geïnfecteerde apparaten te extraheren, waaronder wachtwoorden en portemonneesleutels voor cryptocurrency. De malware kreeg bekendheid na de uitschakeling van Lumma, een andere populaire informatiestealer, begin 2023. In oktober had Rhadamanthys meer dan 12.000 slachtoffers gecompromitteerd, waardoor het een van de meest wijdverspreide informatiestelende malware in omloop is. De verdachte achter Rhadamanthys had toegang tot ruim 100.000 crypto-wallets, potentieel miljoenen euro’s waard.
Elysium fungeerde als een botnet, een netwerk van aangetaste computers die op afstand werden bestuurd door aanvallers. Botnets worden gebruikt voor allerlei kwaadaardige activiteiten, waaronder DDoS-aanvallen (distributed denial-of-service) en spamcampagnes.
VenomRAT is een trojan voor externe toegang (RAT) waarmee aanvallers volledige controle kunnen krijgen over geïnfecteerde systemen. RAT’s worden vaak gebruikt voor spionage, gegevensdiefstal en het inzetten van aanvullende malware.
De cyclus van aanpassing
De opkomst van Rhadamanthys na de uitschakeling van Lumma illustreert een belangrijke trend in cybercriminaliteit: criminelen passen zich snel aan. Wanneer het ene instrument wordt geneutraliseerd, verschijnt er een ander, in het begin vaak minder bekend, om de leegte op te vullen. Dit is de reden waarom wetshandhavings- en cyberbeveiligingsbedrijven de strijd als eindeloos beschrijven.
Rhadamanthys verspreidde zich aanvankelijk via kwaadaardige Google-advertenties voordat het grip kreeg op ondergrondse forums. De dramatische toename van het aantal slachtoffers van de malware na de verwijdering van Lumma onderstreept hoe gemakkelijk criminelen nieuwe tools kunnen gebruiken.
De “Whack-a-Mole”-realiteit
Ryan English, onderzoeker bij Black Lotus Labs, legt uit dat dit een fundamentele uitdaging is in cybercriminaliteit. “We weten dat anderen hun plaats zullen innemen, dus we blijven volgen om te zien wie daaruit voortkomt”, zei hij. De industrie kan bedreigingen alleen tegengaan als ze zich voordoen, maar het onderliggende probleem blijft bestaan: criminelen zullen altijd nieuwe manieren vinden om kwetsbaarheden te misbruiken.
De ontmanteling van deze operaties is een belangrijke overwinning voor de rechtshandhaving, maar lost het grotere probleem niet op. Het bedreigingslandschap evolueert voortdurend en er zullen onvermijdelijk nieuwe soorten malware opduiken ter vervanging van de soorten die zijn verwijderd.
Waarom dit belangrijk is
De voortdurende cyclus van verwijderingen en hernieuwde opkomst onderstreept de noodzaak van een meer proactieve benadering van cyberbeveiliging. Het simpelweg ontwrichten van bestaande bedreigingen is niet voldoende; organisaties en individuen moeten prioriteit geven aan preventie, voorlichting en robuuste beveiligingspraktijken. De strijd tegen cybercriminaliteit gaat niet alleen over het vangen van criminelen; het gaat in de eerste plaats om het verkleinen van de kansen voor hen om te slagen.
Het feit dat Rhadamanthys snel de leegte opvulde die Lumma had achtergelaten, laat zien dat technische ontwrichting alleen de oorlog niet zal winnen. Het onderliggende probleem van zwakke beveiligingspraktijken, phishing-aanvallen en niet-gepatchte kwetsbaarheden blijft bestaan.
Uiteindelijk is de strijd tegen cybercriminaliteit een marathon, geen sprint. Rechtshandhaving en de cyberbeveiligingsindustrie moeten zich blijven aanpassen en innoveren, maar individuen en organisaties moeten ook de verantwoordelijkheid nemen voor hun eigen veiligheid
