Fallo masivo en la infraestructura de Rhadamanthys deja a clientes sin acceso a los servidores
El contador regresivo en la web de Operation Endgame ya está activo. ¿Qué han preparado las fuerzas del orden?
La operación contra el malware Rhadamanthys provocó una interrupción a gran escala en su infraestructura: numerosos usuarios que alquilaban el malware por suscripción informaron de la pérdida de acceso a sus servidores. Al parecer, agentes de las fuerzas del orden accedieron a sus paneles de control, lo que provocó una reacción de alarma en las comunidades clandestinas.
Rhadamanthys es un malware especializado en el robo de datos — cuentas, tokens de autenticación y cookies de navegadores, clientes de correo y otros programas. Se distribuye con mayor frecuencia mediante cracks falsos para programas, enlaces publicitarios maliciosos y vídeos en YouTube. El programa funciona como «malware como servicio»: por una cuota mensual los atacantes obtienen acceso al código, soporte y a un panel para recopilar la información robada.
En los últimos días en foros de hackers comenzaron a aparecer quejas de clientes de Rhadamanthys que afirman que el acceso habitual por SSH ya no está disponible y que ahora la autenticación exige certificados. Algunos participantes creen que la policía alemana está detrás de la intervención, ya que se registraron conexiones sospechosas desde direcciones IP de Alemania poco antes de la pérdida de acceso. El desarrollador del malware también confirmó que paneles alojados en centros de datos en la Unión Europea sufrieron accesos no autorizados.
Un usuario afectado contó que, tras eliminar la contraseña y pasar el servidor al modo de autenticación por certificado, tuvo que desconectar con urgencia la máquina y borrar todo rastro. Según dijo, se vieron afectados especialmente quienes usaban un instalador «inteligente», mientras que las instancias instaladas manualmente podían haber pasado desapercibidas.
También se supo que los sitios .onion de Rhadamanthys en la red Tor están actualmente inaccesibles; no obstante, no hay señales de una toma oficial, lo que deja el origen del ataque incierto. Según los investigadores que siguen la operación, la situación podría estar relacionada con un próximo comunicado del equipo Operation Endgame — una iniciativa internacional de las fuerzas del orden dirigida contra la infraestructura de red de los distribuidores de malware.
Anteriormente, esta operación ya había afectado a diversos malwares y servicios, incluidos SmokeLoader, Trickbot, IcedID, Bumblebee y AVCheck. En el sitio web de la propia iniciativa hay ahora un contador hasta el siguiente gran anuncio, que se espera que tenga lugar el jueves. Los representantes de BleepingComputer intentaron obtener comentarios de la policía alemana, Europol y el FBI; sin embargo, aún no han recibido respuesta.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla