(https://i.postimg.cc/sXJ143JX/Stealer_Cat.png) (https://postimages.org/)
La operación del malware Rhadamanthys, que roba información, ha sido interrumpida. Numerosos usuarios de este malware como servicio informan que han perdido el acceso a sus servidores.
Rhadamanthys es un malware que roba credenciales y cookies de autenticación de navegadores, clientes de correo electrónico y otras aplicaciones. Se distribuye comúnmente mediante campañas que se promocionan como cracks de software, vídeos de YouTube o anuncios maliciosos en buscadores.
El malware se ofrece mediante un modelo de suscripción, donde los ciberdelincuentes pagan al desarrollador una cuota mensual para acceder al malware, recibir soporte y utilizar un panel web para recopilar los datos robados.
Planes de suscripción para la operación de malware Rhadamanthys
(https://www.bleepstatic.com/images/news/malware/r/Rhadamanthys/disruption/pricing-plans.jpg)
Según los investigadores de ciberseguridad g0njxa y Gi7w0rm, quienes monitorean operaciones de malware como Rhadamanthys, los ciberdelincuentes involucrados afirman que las fuerzas del orden obtuvieron acceso a sus paneles web.
En una publicación en un foro de hackers, algunos clientes indican que perdieron el acceso SSH a sus paneles web de Rhadamanthys, los cuales ahora requieren un certificado para iniciar sesión en lugar de su contraseña de administrador habitual.
"Si no puede iniciar sesión con su contraseña, tenga en cuenta que el método de inicio de sesión del servidor también ha cambiado al modo de inicio de sesión mediante certificado. Por favor, verifique y confirme. De ser así, reinstale su servidor de inmediato y elimine cualquier rastro. La policía alemana está actuando", escribió uno de los clientes.
(https://www.bleepstatic.com/images/news/malware/r/Rhadamanthys/disruption/forum-post.jpg)
Otro suscriptor de Rhadamanthys afirmó estar experimentando los mismos problemas, ya que el acceso SSH a su servidor ahora también requiere inicios de sesión basados en certificados.
"Confirmo que personas no autorizadas accedieron a mi servidor y la contraseña fue eliminada. El inicio de sesión de rootServer ahora requiere exclusivamente certificados, por lo que tuve que borrar todo de inmediato y apagar el servidor. Quienes lo instalaron manualmente probablemente no sufrieron daños, pero quienes lo instalaron a través del 'panel inteligente' se vieron gravemente afectados", escribió otro suscriptor.
Un mensaje del desarrollador de Rhadamanthys indica que creen que las autoridades alemanas están detrás de la interrupción, ya que los paneles web alojados en centros de datos de la UE tenían direcciones IP alemanas que iniciaban sesión antes de que los ciberdelincuentes perdieran el acceso.
(https://www.bleepstatic.com/images/news/malware/r/Rhadamanthys/disruption/developer-post.jpg)
G0njxa informó que los sitios onion de Tor utilizados para la operación de malware también están fuera de servicio, pero actualmente no muestran ningún aviso de incautación policial, por lo que se desconoce quién está detrás de la interrupción.
Varios investigadores que declararon creen que esta interrupción podría estar relacionada con un próximo anuncio de la Operación Endgame, una acción policial en curso dirigida a las operaciones de malware como servicio.
La Operación Endgame ha sido responsable de numerosas interrupciones desde su lanzamiento, incluyendo ataques contra infraestructura de ransomware y las operaciones de malware del sitio web AVCheck, SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader y SystemBC.
El sitio web de la Operación Endgame muestra un contador que indica que se anunciará nueva información el jueves.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/