Десятки клієнтів інфостілера Rhadamanthys повідомляють про раптову втрату доступу до серверів і веб-панелей. За свідченнями дослідників g0njxa та Gi7w0rm, на які посилається BleepingComputer, у кримінальних колах поширюється версія про втручання правоохоронців Німеччини. Додатково зафіксовано недоступність Tor-ресурсів Rhadamanthys без характерних банерів про вилучення інфраструктури.
Rhadamanthys як Malware-as-a-Service: чому інфостілер настільки популярний
Rhadamanthys працює за моделлю Malware-as-a-Service (MaaS): зловмисники оформлюють підписку й отримують інструменти для крадіжки даних, панель керування і техпідтримку. Функціонал охоплює викрадення облікових даних, cookies, автозаповнень і чутливої інформації з браузерів, поштових клієнтів та інших додатків. Типові вектори доставки — фальшиві «кряки», посилання в описах відео на YouTube і malvertising у пошукових мережах.
Ознаки можливого втручання: SSH за сертифікатом та логіни з німецьких IP
Клієнти Rhadamanthys на профільних форумах повідомляють, що SSH-доступ до панелей переведено з паролів на автентифікацію сертифікатом. Така зміна зазвичай свідчить про перезапис конфігурацій стороннім суб’єктом, що буває під час примусового доступу або вилучення серверів.
Оператори також заявляють про підключення з німецьких IP-адрес перед втратою контролю, причому найбільші збої спостерігалися у європейських дата-центрах. Тор-майданчики Rhadamanthys недоступні, але стандартних банерів про конфіскацію поки що не опубліковано, що посилює невизначеність щодо статусу операції.
Що означає перехід SSH на сертифікати
Перемикання SSH з пароля на сертифікатну автентифікацію різко обмежує доступ за наявністю приватного ключа. У контексті кримінальної інфраструктури це виглядає як форензічне закриття або спроба централізованого контролю за вузлами з боку третіх осіб, включно з правоохоронцями.
Чи пов’язано це з Operation Endgame
Н низку ознак співвідносять із міжнародною кампанією Operation Endgame, спрямованою проти MaaS-екосистем і ботнет-інфраструктур. Раніше в її межах правоохоронці виводили з ладу сервіси на кшталт AVCheck і компоненти шкідників SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, SystemBC. На офіційному ресурсі Operation Endgame нині активний таймер із анонсом, що може означати чергову хвилю скоординованих дій. Водночас прямих підтверджень щодо Rhadamanthys немає, тож висновки залишаються попередніми.
Потенційні наслідки для зловмисників і ризики для організацій
Якщо правоохоронці справді отримали доступ до панелей або серверів Rhadamanthys, це може забезпечити їм журнали активності, ідентифікатори афілійованих операторів, мережеву телеметрію і частину викрадених баз. У попередніх кейсах (QakBot, Emotet) такі дані використовувалися для ідентифікації жертв та координації ремедіації через національні CERT і партнерські програми.
За свідченнями одного з клієнтів, «ті, хто розгортав усе вручну, постраждали менше, а користувачі “розумної панелі” — значно більше». Це вкотре демонструє, що централізовані панелі зручні, але створюють єдині точки відмови і привабливу поверхню для примусових дій правоохоронців.
Рекомендації для ІБ та IT-команд: як знизити вплив інфостілерів
Перевірка облікових записів і паролі: виконайте ревізію, примусово змініть паролі за мінімальних ознак компрометації, обов’язково вмикайте MFA для критичних систем.
Скидання сесій і токенів: обнуліть активні браузерні сесії, cookies та OAuth-токени на пристроях, що могли контактувати зі шкідливим ПЗ.
Оновлення EDR/NGAV і мережевих сигнатур: врахуйте TTP інфостілерів, ланцюги доставки через malvertising і фейкові інсталятори; застосуйте блокування за категоріями контенту.
Моніторинг SSH та інфраструктури в ЄС: відстежуйте аномалії доступу (раптовий перехід на сертифікати, нестандартні ключі, логіни з нетипових геолокацій).
Навчання користувачів: пояснюйте ризики піратських «кряків», шкідливих посилань у відеоописах і рекламі; впроваджуйте політики завантажень і запуску ПЗ.
Ситуація з Rhadamanthys демонструє посилення тиску на MaaS-ринок і більш технологічні інструменти правоохоронців. Незалежно від фінального вердикту потенційної операції в ЄС, захист від інфостілерів має бути пріоритетом: впроваджуйте MFA, сегментуйте мережі, мінімізуйте привілеї, регулярно перевіряйте витоки облікових даних і відстежуйте офіційні оновлення Operation Endgame. Це допоможе знизити ризик компрометації та скоротити час реагування на еволюцію загроз.
