As agências responsáveis pela aplicação da lei em todo o mundo, coordenadas pela Europol, desmantelaram três grandes operações de cibercriminalidade numa recente repressão denominada “Operação Fim de Jogo”. Os alvos incluíam o infostealer Rhadamanthys, o botnet Elysium e o trojan de acesso remoto VenomRAT – todos atores-chave no crime cibernético internacional. Mais de 1.000 servidores foram apreendidos durante a operação, e um dos principais suspeitos do VenomRAT foi preso na Grécia em 3 de novembro.
A operação destaca uma realidade crítica: o desmantelamento da infraestrutura do crime cibernético é uma batalha contínua, muitas vezes descrita como um cenário de “ataque a toupeira”. Uma vez neutralizada uma ameaça, outra emerge rapidamente para ocupar o seu lugar.
Os alvos: o que eles estavam fazendo?
Rhadamanthys é um infostealer projetado para extrair dados confidenciais de dispositivos infectados, incluindo senhas e chaves de carteiras de criptomoedas. O malware ganhou destaque após a derrubada do Lumma, outro ladrão de informações popular, no início de 2023. Em outubro, o Rhadamanthys havia comprometido mais de 12.000 vítimas, tornando-o um dos malwares de roubo de informações mais difundidos em circulação. O suspeito por trás de Rhadamanthys tinha acesso a mais de 100.000 carteiras criptográficas, potencialmente no valor de milhões de euros.
Elysium operava como uma botnet, uma rede de computadores comprometidos controlados remotamente por invasores. As botnets são usadas para uma variedade de atividades maliciosas, incluindo ataques distribuídos de negação de serviço (DDoS) e campanhas de spam.
VenomRAT é um trojan de acesso remoto (RAT) que permite que invasores obtenham controle total sobre os sistemas infectados. Os RATs são frequentemente usados para espionagem, roubo de dados e implantação de malware adicional.
O Ciclo de Adaptação
A ascensão de Rhadamanthys após a queda de Lumma ilustra uma tendência fundamental no crime cibernético: os criminosos adaptam-se rapidamente. Quando uma ferramenta é neutralizada, surge outra, muitas vezes menos conhecida no início, para preencher o vazio. É por isso que as autoridades policiais e as empresas de segurança cibernética descrevem a luta como interminável.
O Rhadamanthys inicialmente se espalhou por meio de anúncios maliciosos do Google antes de ganhar força em fóruns clandestinos. O aumento dramático de vítimas do malware após a remoção de Lumma ressalta a facilidade com que os criminosos podem migrar para novas ferramentas.
A realidade do “Whack-a-Mole”
Ryan English, investigador do Black Lotus Labs, explica que este é um desafio fundamental no cibercrime. “Sabemos que outros tomarão o seu lugar, por isso continuamos monitorando para ver quem está emergindo disso”, disse ele. A indústria só consegue interromper as ameaças à medida que estas surgem, mas o problema subjacente permanece: os criminosos encontrarão sempre novas formas de explorar vulnerabilidades.
O desmantelamento destas operações é uma vitória significativa para a aplicação da lei, mas não resolve a questão maior. O cenário de ameaças está em constante evolução e novas variedades de malware surgirão inevitavelmente para substituir aquelas que foram eliminadas.
Por que isso é importante
O ciclo contínuo de remoções e ressurgimentos destaca a necessidade de uma abordagem mais proativa à segurança cibernética. Simplesmente interromper as ameaças existentes não é suficiente; organizações e indivíduos devem priorizar a prevenção, a educação e práticas robustas de segurança. A batalha contra o crime cibernético não envolve apenas capturar criminosos; trata-se, em primeiro lugar, de reduzir as oportunidades para que tenham sucesso.
O facto de Rhadamanthys ter preenchido rapidamente o vazio deixado por Lumma mostra que a perturbação técnica por si só não vencerá a guerra. O problema subjacente de práticas de segurança fracas, ataques de phishing e vulnerabilidades não corrigidas permanece.
Em última análise, a luta contra o cibercrime é uma maratona e não uma corrida. A aplicação da lei e a indústria da cibersegurança devem continuar a adaptar-se e a inovar, mas os indivíduos e as organizações também devem assumir a responsabilidade pela sua própria segurança.
