Десятки клиентов инфостилера Rhadamanthys сообщают о внезапной потере доступа к серверам и веб-панелям управления. По данным исследователей g0njxa и Gi7w0rm, на которые ссылается издание BleepingComputer, участники криминальных форумов подозревают операцию правоохранительных органов Германии. Дополнительно отмечается отключение Tor-ресурсов Rhadamanthys без характерного для таких случаев баннера о изъятии инфраструктуры.
Что такое Rhadamanthys: инфостилер в модели MaaS
Rhadamanthys — один из наиболее популярных у киберпреступников инфостилеров, распространяемый по модели Malware-as-a-Service (MaaS). Клиенты платят за подписку, получая доступ к самому вредоносному ПО, панели для агрегации украденных данных и техподдержке. Функционал включает кражу учетных данных, cookies, автозаполнений и другой чувствительной информации из браузеров, почтовых клиентов и сопутствующих приложений. Типичные каналы доставки — фейковые «кряки», ссылки из описаний видеороликов на YouTube и malvertising в поисковых сетях.
Признаки вмешательства: SSH по сертификату и логины с немецких IP
Согласно жалобам клиентов на профильных форумах, SSH-доступ к панелям Rhadamanthys изменен с пароля на вход по сертификату. Это классический индикатор, что серверная конфигурация была изменена третьей стороной, чаще всего — в ходе принудительного доступа или изъятия инфраструктуры. Характерные комментарии пользователей говорят сами за себя: «Если пароль не работает и метод входа изменен на режим по сертификату — проверьте и немедленно переустановите сервер, сотрите следы — работает немецкая полиция».
Операторы Rhadamanthys утверждают, что перед потерей доступа фиксировались подключения с немецких IP-адресов, а наибольшие проблемы наблюдались в европейских дата-центрах. Дополнительно исследователь g0njxa отмечает недоступность Tor-сайтов проекта; при этом стандартных уведомлений о конфискации от правоохранителей пока нет, что увеличивает неопределенность вокруг статуса операции.
Возможная связь с Operation Endgame
Ряд признаков указывает на потенциальную связку происходящего с масштабной международной кампанией Operation Endgame, сфокусированной на MaaS-экосистеме и инфраструктуре ботнетов. Ранее в рамках этой операции правоохранители вывели из строя сервис AVCheck, а также элементы инфраструктуры вредоносов SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee и SystemBC. На официальном сайте Operation Endgame в настоящее время активен таймер с обещанием скорого анонса, что может означать новую волну координированных действий.
Последствия для злоумышленников и риски для организаций
Если подтверждится, что правоохранители получили контроль над частью панелей или серверов Rhadamanthys, это потенциально означает доступ к логукам, идентификаторам операторов, сетевой телеметрии и украденным базам. В подобных случаях прошлых операций (например, против QakBot и Emotet) данные о жертвах и криминальных учетных записях использовались для уведомления пострадавших и координации ремедиации. Однако на текущий момент официальных подтверждений по Rhadamanthys нет, и выводы следует делать с осторожностью.
Интересно, что, по словам одного из клиентов, «кто ставил все вручную, вероятно, не пострадали, а те, кто использовал “умную панель” — пострадали жестко». Это сочетается с практикой: централизованные «панели» повышают удобство, но создают единые точки отказа и расширяют поверхность атаки для правоохранителей и защиты.
Рекомендации для ИБ- и IT-команд
Организациям, внедряющим проактивную защиту от инфостилеров, стоит актуализировать мониторинг и политику реагирования:
— Проведите ревизию учетных записей и принудительную смену паролей при любых признаках компрометации; включите MFA для критичных систем.
— Обнулите активные сессии и токены (в том числе браузерные cookies), если устройства могли контактировать с вредоносом.
— Обновите правила EDR/NGAV и сетевые сигнатуры с учетом TTP инфостилеров и цепочек доставки через malvertising и фальшивые установщики.
— Отслеживайте аномалии SSH, включая внезапное переключение на сертификатную аутентификацию на серверах, размещенных в ЕС дата-центрах.
— Обучайте пользователей рискам загрузки «кряков» и переходам по ссылкам из видеоописаний.
Ситуация вокруг Rhadamanthys показательна: давление на MaaS-рынок усиливается, а правоохранительные операции становятся точечнее и технологичнее. Независимо от финальных результатов потенциальной операции в ЕС, защита от инфостилеров остается приоритетом: внедряйте многофакторную аутентификацию, сегментируйте сети и минимизируйте привилегии, регулярно проверяйте утечки учетных данных и следите за официальными обновлениями Operation Endgame. Это поможет снизить риск компрометации и быстрее реагировать на эволюцию угроз.
