Uma operação policial, conhecida como Operação Endgame, derrubou as atividades de 3 grupos cibercriminosos famosos: o Rhadamanthys, um dos maiores infostealers ativos; o VenomRAT, um trojan de acesso remoto; e o botnet Elysium.
Os grupos atuavam de maneira internacional e durante a ação da Europol, um dos principais suspeitos pelo comando do VenomRAT foi preso na Grécia no dia 3 de novembro.
Como os grupos de cibercriminosos atuavam
O VenomRAT ficou conhecido do Brasil por uma onda de ataques a redes de hotel em setembro desse ano. O código do trojan de acesso remoto era capaz de eliminas qualquer outro processo que pode interferir em seu funcionamento, incluindo aqueles usados por especialistas em cibersegurança.
Por outro lado, o botnet Elysium faz parte de um grupo de ransomware conhecido por vários nomes, incluindo Ghost, Cring e Crypt3r. Ele desarmava todos os sitemas de proteção do computador da vítima e criptografava todos os arquivos. A partir disso, enviava uma mensagem para a vítima com uma “chave especial”, um endereço de e-mail e dizia que só seria possível recuperar os documentos criptografados mediante a pagamento ao grupo.
O grupo mantenedor do Elysium mirava infraestruturas críticas, organizações de saúde e governos.
Já o Rhadamanthys era um stealer multi-modular, ativo desde 2022, e ficou muito conhecido pelas campanhas ClickFix. Investigações de empresas de cibersegurança relacionam o infostealer a uma campanha do mesmo grupo criminoso, chamada Hidden Bee. Como ele derivou de um projeto de sucesso, não demorou muito que suas atividades também atingissem diversas vítimas.
Os serviços do Rhadamanthys eram oferecidos em fóruns e websites oficiais, com planos de US$ 299 a US$ 499, e incluiam até um canal de atendimento ao cliente no Telegram.
Os grupos atuavam de maneira internacional e durante a ação da Europol, um dos principais suspeitos pelo comando do VenomRAT foi preso na Grécia no dia 3 de novembro.
Cibercriminosos tinham milhões em em criptomoedas
Segundo as autoridades, a infraestrutura derrubada durante a operação foi capaz de infectar e prejudicar centenas de milhares de vítimas globalmente. Um dos principais suspeitos da operação do Rhadamanthys tinha acesso a mais de 100 mil carteiras de criptomoedas, que podem valer milhões de euros. O pior de tudo é que a maior parte das vítimas nem sabe que suas contas foram afetadas.
A última fase da operação, que aconteceu entre os dias 10 e 13 de novembro, apreendeu 20 domínios, tirou do ar 1025 servidores maliciosos, milhares de computadores que tinham milhões de credenciais roubadas e contou com o apoio de mais de 30 organizações internacionais públicas e privadas, com o envolvimento de países como Austrália, Alemanha, Bélgica, Canadá, França, Grécia, Lituânia, Reino Unido e Estados Unidos.
A Europol se juntou com o Have I Been Pwned, site que permite a checagem de credenciais comprometidas em vazamentos de dados, e é possível ver se suas informações foram afetadas por algum desses agentes criminosos.
Como a operação policial segue em atuação, essa matéria segue em desenvolvimento.
Para acompanhar a Operação Endgame, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.