Правоохоронні органи в усьому світі, координовані Європолом, ліквідували три великі групи кіберзлочинців у нещодавній операції під назвою Operation Endgame. Цілями були інформатор Rhadamanthys, ботнет Elysium і віддалений троян VenomRAT – усі ключові гравці міжнародної кіберзлочинності. Під час операції було вилучено понад 1000 серверів, а 3 листопада в Греції затримали одного з головних підозрюваних у причетності до VenomRAT.
Ця операція підкреслює важливу реальність: демонтаж інфраструктури кіберзлочинності є постійною боротьбою, яку часто описують як гру в День бабака. Як тільки одну загрозу нейтралізовано, на її місце швидко з’являється інша.
Цілі: що вони зробили?
Rhadamanthys — це інформатор, призначений для крадіжки конфіденційних даних із заражених пристроїв, включаючи паролі та ключі до гаманців криптовалюти. Зловмисне програмне забезпечення набуло популярності після видалення Lumma, ще одного відомого інформатора, на початку 2023 року. До жовтня Rhadamanthys скомпрометувало понад 12 000 жертв, ставши одним із найпоширеніших шкідливих програм для крадіжки інформації. Підозрюваний, що стоїть за Rhadamanthys, мав доступ до понад 100 000 криптовалютних гаманців, потенційно вартістю мільйони євро.
Elysium працював як ботнет – мережа скомпрометованих комп’ютерів, якими дистанційно керували зловмисники. Ботнети використовуються для різноманітних зловмисних дій, у тому числі для атак розподіленої відмови в обслуговуванні (DDoS) і спам-кампаній.
VenomRAT — це троян дистанційного керування (RAT), який дозволяє зловмисникам отримати повний контроль над зараженими системами. RAT часто використовуються для шпигунства, крадіжки даних і розгортання додаткових шкідливих програм.
Цикл адаптації
Поява Rhadamanthys після знищення Lumma ілюструє ключову тенденцію в кіберзлочинності: злочинці швидко адаптуються. Коли один інструмент нейтралізується, інший, часто менш відомий спочатку, займає його місце, щоб заповнити порожнечу. Тому правоохоронні органи та фірми з кібербезпеки описують боротьбу як нескінченну.
Rhadamanthys спочатку поширювався через зловмисну рекламу в Google, перш ніж набути популярності на підпільних форумах. Різке збільшення кількості жертв після демонтажу Lumma підкреслює, наскільки легко злочинці можуть перейти на нові інструменти.
Реаліті “День бабака”
Раян Інгліш, дослідник Black Lotus Labs, пояснює, що це фундаментальна проблема кіберзлочинності. «Ми знаємо, що інші займуть їх місце, тому ми просто продовжуємо відстежувати, хто вийде з цього», — сказав він. Індустрія може лише зупинити загрози, коли вони виникають, але основна проблема залишається: злочинці завжди знайдуть нові способи використання вразливостей.
Скасування цих операцій є значною перемогою для правоохоронних органів, але це не вирішує ширшої проблеми. Ландшафт загроз постійно змінюється, і на зміну знешкодженим неминуче з’являться нові різновиди шкідливого програмного забезпечення.
Чому це важливо
Триваючий цикл ліквідацій і повторних появ підкреслює необхідність більш активного підходу до кібербезпеки. Просто зупинити існуючі загрози недостатньо: організації та окремі особи повинні надавати пріоритет запобіганню, навчанню та надійним заходам безпеки. Боротьба з кіберзлочинністю полягає не лише у спійманні злочинців, а й у зменшенні можливостей для них досягти успіху.
Той факт, що Радамантіс швидко заповнив порожнечу, залишену Луммою, показує, що одних тільки технічних заходів недостатньо, щоб виграти війну. Основна проблема слабких методів безпеки, фішингових атак і невиправлених вразливостей залишається невирішеною.
Зрештою, боротьба з кіберзлочинністю – це марафон, а не спринт. Правоохоронні органи та галузь кібербезпеки повинні продовжувати адаптуватися та впроваджувати інновації, але окремі особи та організації також повинні брати відповідальність за власну безпеку.
