Правоохранители из девяти стран — Австралии, Канады, Дании, Франции, Германии, Греции, Литвы, Нидерландов и США — провели масштабный удар по киберпреступной инфраструктуре в рамках международной операции Endgame под координацией Европола и Евроюста. За период с 10 по 14 ноября 2025 года отключены 1025 серверов, изъято 20 доменов и проведены обыски в 11 локациях в Германии, Греции и Нидерландах. Под удар попали инфраструктуры, связанные с инфостилером Rhadamanthys, RAT-трояном VenomRAT и ботнетом Elysium.
Международная операция Endgame: масштабы и участники
К операциям по нейтрализации инфраструктуры подключились не только правоохранители, но и ведущие частные организации: Cryptolaemus, Shadowserver, SpyCloud, Team Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, Have I Been Pwned, Spamhaus, DIVD и Bitdefender. Такой формат публично-частного партнёрства стал критически важным для быстрой атрибуции, синхронизации точек отключения и юридического закрепления изъятий доменных имён.
Ещё накануне операции клиенты Rhadamanthys сообщали о потере доступа к панелям управления. По их словам, перед отключением фиксировались логины с немецких IP-адресов — индикатор готовящихся следственных действий. Эти наблюдения подтвердились: на официальном сайте Endgame опубликованы детали рейдов и блокировок, проведённых европейскими ведомствами.
Технические детали: Rhadamanthys, VenomRAT и Elysium
Rhadamanthys — инфостилер, специализирующийся на краже сохранённых паролей, cookies, данных автозаполнения браузеров и криптокошельков. VenomRAT — «удалённый доступ» (RAT), который предоставляет злоумышленникам постоянный контроль над системой жертвы. Elysium — ботнет, использующий заражённые устройства как инфраструктуру для дальнейших атак, рассылки и развертывания дополнительной малвари.
По данным Европола, выведенная из строя инфраструктура контролировала сотни тысяч заражённых устройств и содержала миллионы украденных учётных записей. В пресс-релизе отмечено, что ключевой подозреваемый, связанный с инфостилером, имел доступ к более чем 100 000 криптовалютных кошельков потенциальных жертв. 3 ноября в Греции задержан один из фигурантов, связанный с VenomRAT.
Статистика заражений и география C2-серверов
Аналитики Lumen зафиксировали резкий рост активности Rhadamanthys в октябре–ноябре 2025 года: в среднем 300 активных C2-серверов ежедневно, с пиком в 535 серверов в октябре. Более 60% управляющих узлов размещались в США, Германии, Великобритании и Нидерландах. Примечательно, что свыше 60% C2-серверов не обнаруживались VirusTotal, что объясняет всплеск заражений — в среднем свыше 4000 уникальных IP в день в октябре.
По данным Shadowserver, Rhadamanthys нередко выступал начальным звеном в цепочке компрометации, устанавливая на заражённые машины дополнительную малварь. С марта по ноябрь 2025 года специалисты насчитали 525 303 инцидента заражения Rhadamanthys и более 86,2 млн событий, связанных с кражей данных. Около 63 000 пострадавших IP-адресов приходилось на Индию.
Риски для пострадавших и как проверить заражение
Инфостилеры и RAT-инструменты опасны долгосрочным латентным присутствием: учётные данные, сессии и криптокошельки могут быть скомпрометированы задолго до обнаружения. Europol рекомендует проверить устройства на компрометацию через politie.nl/checkyourhack и убедиться, что ваши адреса/аккаунты не фигурируют в утечках на haveibeenpwned.com.
Рекомендуемые шаги реагирования: полная переустановка или тщательная очистка заражённых систем; ротация паролей и обнуление токенов сессий; включение многофакторной аутентификации повсеместно; аудит расширений браузеров и удаление подозрительных; проверка и перевод криптоактивов на новые кошельки с «чистых» устройств; внедрение EDR/антивирусных решений с поведенческой аналитикой; мониторинг сетевой активности на предмет обращения к известным C2-доменам/ IP. Организациям стоит актуализировать правила IDS/IPS, обновить блок-листы и запустить ретроспективный поиск индикаторов компрометации (IOC), опубликованных участниками операции.
Контекст: предыдущие этапы Endgame
Ранее в рамках Operation Endgame правоохранители нейтрализовали сервис AVCheck и инфраструктуры нескольких заметных семейств вредоносного ПО, включая SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee и SystemBC. Последовательность координированных ударов демонстрирует устойчивую стратегию давления на экосистему киберпреступности и её логистику.
Международная кооперация, охватившая правоохранителей и лидеров частного сектора, показывает, что системная деконструкция C2- и хостинг-инфраструктуры работает и масштабируется. Пользователям и организациям стоит воспользоваться моментом: провести проверки на заражение, усилить управление учётными данными и пересмотреть базовые гигиенические практики кибербезопасности. Чем быстрее будут выполнены ротация секретов, включение MFA и очистка систем, тем ниже риск повторной компрометации и злоупотребления украденными данными.
