Rhadamanthys'in bilgi hırsızlığı operasyonu, hizmet olarak kötü amaçlı yazılımın çok sayıda "müşterisinin" artık sunucularına erişimlerinin olmadığını bildirmesiyle kesintiye uğradı.
Rhadamanthys, tarayıcılardan, e-posta istemcilerinden ve diğer uygulamalardan kimlik bilgilerini ve kimlik doğrulama çerezlerini çalan bir bilgi hırsızı kötü amaçlı yazılımıdır. Genellikle yazılım çatlakları, YouTube videoları veya kötü amaçlı arama reklamları olarak tanıtılan kampanyalar aracılığıyla dağıtılır.
Kötü amaçlı yazılım, siber suçluların geliştiriciye kötü amaçlı yazılıma erişim, destek ve çalınan verileri toplamak için kullanılan bir web paneline erişim için aylık ücret ödediği bir abonelik modelinde sunulmaktadır.
Her ikisi de Rhadamanthys gibi kötü amaçlı yazılım operasyonlarını izleyen g0njxa ve Gi7w0rm olarak bilinen siber güvenlik araştırmacılarına göre, operasyona katılan siber suçluların kolluk kuvvetlerinin web panellerine erişim elde ettiğini iddia ettiğini bildirdi.
Bilgisayar korsanlığı forumunda yayınlanan bir gönderide bazı müşteriler, artık oturum açmak için normal kök şifreleri yerine bir sertifika gerektiren Rhadamanthys web panellerine SSH erişimini kaybettiklerini belirtiyor.
Müşterilerden biri, "Şifreniz giriş yapamıyorsa. Sunucu giriş yöntemi de sertifika giriş moduna değiştirildi, lütfen kontrol edin ve onaylayın, eğer öyleyse, sunucunuzu hemen yeniden yükleyin, izleri silin, Alman polisi harekete geçiyor" diye yazdı müşterilerden biri.
Başka bir Rhadamanthys abonesi de aynı sorunları yaşadıklarını, sunucularının SSH erişiminin artık sertifika tabanlı giriş yapılmasını gerektirdiğini iddia etti.
Başka bir abone, "Konukların sunucumu ziyaret ettiğini ve şifrenin silindiğini onaylıyorum. KökSunucu girişi kesinlikle sertifikaya dayalı hale geldi, bu yüzden hemen her şeyi silip sunucuyu kapatmak zorunda kaldım. Bunu manuel olarak kuranlar muhtemelen zarar görmemişti, ancak "akıllı panel" aracılığıyla yükleyenler sert bir darbe aldı" diye yazdı başka bir abone.
Rhadamanthys geliştiricisinden gelen bir mesajda, AB veri merkezlerinde barındırılan web panellerinde siber suçlular erişimi kaybetmeden önce Alman IP adreslerinin oturum açması nedeniyle kesintinin arkasında Alman emniyet teşkilatının olduğuna inandıkları belirtiliyor.
G0njxa, BleepingComputer'a, kötü amaçlı yazılım operasyonu için Tor soğan sitelerinin de çevrimdışı olduğunu ancak şu anda polis tarafından ele geçirilen bir afişin bulunmadığını, dolayısıyla kesintinin arkasında tam olarak kimin olduğunun belirsiz olduğunu söyledi.
BleepingComputer ile konuşan çok sayıda araştırmacı, bu kesintinin, hizmet olarak kötü amaçlı yazılım operasyonlarını hedef alan devam eden bir kolluk kuvveti eylemi olan Endgame Operasyonu'ndan gelecek bir duyuruyla ilgili olabileceğine inanıyor.
Endgame Operasyonu, lansmanından bu yana, fidye yazılımı altyapısına ve AVCheck sitesi, SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader ve SystemBC kötü amaçlı yazılım operasyonlarına karşı olanlar da dahil olmak üzere çok sayıda kesintinin arkasında kaldı.
Endgame Operasyonu web sitesinde şu anda yeni eylemin Perşembe günü açıklanacağını belirten bir zamanlayıcı var.
BleepingComputer Alman Bundeskriminalamt (BKA), Europol ve FBI ile temasa geçti ancak şu anda bir yanıt alamadı.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Meduza Stealer olduğu iddia edilen kötü amaçlı yazılım yöneticileri Rus kuruluşlarını hackledikten sonra tutuklandı
Google, büyük Gmail veri ihlaline ilişkin asılsız iddialara karşı çıkıyor
FBI, Salesforce'un gaspı için kullanılan BreachForums portalını çökertti
TikTok videoları bilgi hırsızlarını ClickFix saldırılarına itmeye devam ediyor
Bilgi hırsızlığından tam RAT'a: PureRAT saldırı zincirinin incelenmesi
Kaynak: Bleeping Computer