Organy ścigania na całym świecie, koordynowane przez Europol, rozbiły trzy główne grupy cyberprzestępcze w ramach niedawnej operacji zwanej Operacją Endgame. Celem był informator Rhadamanthys, botnet Elysium i zdalny trojan VenomRAT – wszyscy kluczowi gracze w międzynarodowej cyberprzestępczości. Podczas operacji przejęto ponad 1000 serwerów, a 3 listopada w Grecji aresztowano jednego z głównych podejrzanych stojących za VenomRAT.
Ta operacja uwydatnia ważną rzeczywistość: demontaż infrastruktury cyberprzestępczej to nieustanna walka, często opisywana jako zabawa w Dzień Świstaka. Gdy jedno zagrożenie zostanie zneutralizowane, szybko pojawia się inne, które zajmuje jego miejsce.
Cele: co osiągnęli?
Rhadamanthys to informator zaprojektowany w celu kradzieży wrażliwych danych z zainfekowanych urządzeń, w tym haseł i kluczy do portfeli kryptowalut. Szkodnik zyskał popularność po wyeliminowaniu na początku 2023 r. Lummy, innego prominentnego sygnalisty. Do października Rhadamanthys naraził na szwank ponad 12 000 ofiar, stając się jednym z najpowszechniejszych szkodliwych programów kradnących informacje. Podejrzany stojący za Rhadamanthys miał dostęp do ponad 100 000 portfeli kryptowalut, potencjalnie wartych miliony euro.
Elysium działał jako botnet – sieć zainfekowanych komputerów zdalnie kontrolowanych przez atakujących. Botnety są wykorzystywane do różnych złośliwych działań, w tym ataków typu rozproszona odmowa usługi (DDoS) i kampanii spamowych.
VenomRAT to trojan zdalnie sterowany (RAT), który pozwala atakującym uzyskać pełną kontrolę nad zainfekowanymi systemami. RAT są często wykorzystywane do szpiegowania, kradzieży danych i wdrażania dodatkowego złośliwego oprogramowania.
Cykl adaptacyjny
Pojawienie się Rhadamanthys po obaleniu Lummy ilustruje kluczowy trend w cyberprzestępczości: przestępcy szybko się dostosowują. Kiedy jeden instrument zostaje zneutralizowany, inny, często na początku mniej znany, zajmuje jego miejsce i wypełnia pustkę. Dlatego organy ścigania i firmy zajmujące się cyberbezpieczeństwem opisują tę walkę jako niekończącą się.
Rhadamanthys był początkowo dystrybuowany za pośrednictwem złośliwych reklam w Google, zanim zyskał popularność na nielegalnych forach. Gwałtowny wzrost liczby ofiar od czasu likwidacji Lummy pokazuje, jak łatwo przestępcy mogą przejść na nowe narzędzia.
Rzeczywistość „Dzień Świstaka”
Ryan English, badacz w Black Lotus Labs, wyjaśnia, że jest to podstawowy problem cyberprzestępczości. „Wiemy, że inni zajmą ich miejsce, więc po prostu monitorujemy, kto z tego wyjdzie” – powiedział. Branża może powstrzymywać zagrożenia jedynie wtedy, gdy się pojawią, ale podstawowy problem pozostaje: przestępcy zawsze znajdą nowe sposoby wykorzystania luk w zabezpieczeniach.
Wyeliminowanie tych operacji jest znaczącym zwycięstwem organów ścigania, ale nie rozwiązuje szerszego problemu. Krajobraz zagrożeń stale się zmienia i nieuchronnie pojawią się nowe odmiany złośliwego oprogramowania, które zastąpią te, które zostały zneutralizowane.
Dlaczego to jest ważne
Trwający cykl usuwania i ponownego pojawiania się zagrożeń uwydatnia potrzebę bardziej proaktywnego podejścia do cyberbezpieczeństwa. Samo powstrzymanie istniejących zagrożeń nie wystarczy: organizacje i osoby muszą priorytetowo traktować zapobieganie, szkolenia i solidne praktyki bezpieczeństwa. Walka z cyberprzestępczością polega nie tylko na łapaniu przestępców, ale także na ograniczaniu ich szans na osiągnięcie sukcesu.
Fakt, że Radamantys szybko wypełnił pustkę pozostawioną przez Lummę, pokazuje, że same środki techniczne nie wystarczą, aby wygrać wojnę. Podstawowy problem słabych praktyk bezpieczeństwa, ataków phishingowych i niezałatanych luk w zabezpieczeniach pozostaje nierozwiązany.
Ostatecznie walka z cyberprzestępczością to maraton, a nie sprint. Organy ścigania i branża cyberbezpieczeństwa muszą w dalszym ciągu dostosowywać się i wprowadzać innowacje, ale osoby i organizacje muszą również wziąć odpowiedzialność za własne bezpieczeństwo.
