Selon BleepingComputer (Lawrence Abrams), l’opération de malware-as-a-service Rhadamanthys subit une perturbation importante, avec de nombreux « clients » affirmant avoir perdu l’accès à leurs serveurs et panneaux web.

Rhadamanthys est un infostealer qui dérobe des identifiants et cookies d’authentification depuis des navigateurs, clients mail et autres applications. Il est diffusé via des faux cracks logiciels, des vidéos YouTube et des publicités malveillantes dans les moteurs de recherche. Le service est proposé par abonnement, incluant support et panneau web pour collecter les données volées.

Des chercheurs (g0njxa et Gi7w0rm) qui suivent ces opérations indiquent que des cybercriminels affirment que les forces de l’ordre ont accédé aux panneaux web. Des « clients » rapportent avoir perdu l’accès SSH, désormais passé en authentification par certificat au lieu du mot de passe root. Des messages sur forum évoquent la nécessité de réinstaller et effacer les traces, et soulignent que ceux ayant utilisé le « smart panel » seraient les plus touchés.

Le développeur de Rhadamanthys pense que la police allemande est impliquée, citant des adresses IP allemandes observées sur des panneaux hébergés dans l’UE avant la perte d’accès. Les sites onion Tor de l’opération sont également hors ligne, sans bannière officielle de saisie, rendant l’attribution incertaine.

Plusieurs chercheurs estiment que cette perturbation pourrait être liée à une future annonce d’Operation Endgame, initiative de forces de l’ordre déjà à l’origine de disruptions contre des infrastructures de ransomware et des opérations comme SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee et SystemBC. Le site d’Operation Endgame affiche un compte à rebours pour une action annoncée jeudi. BleepingComputer a contacté la police allemande, Europol et le FBI, sans réponse pour l’instant.

TTPs observés/mentionnés:

  • Diffusion via cracks, YouTube et publicités malveillantes (malvertising)
  • Modèle malware-as-a-service avec panneau web et sites Tor
  • Vol de credentials et cookies dans les applications
  • Perturbation probable par prise de contrôle/changement SSH vers authentification par certificat sur l’infrastructure des attaquants 🚔

Il s’agit d’un article de presse spécialisé relatant une perturbation d’infrastructure criminelle et son contexte, avec un accent sur une possible opération de police en cours.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/