Rhadamanthys’in bilgi hırsızlığı operasyonu, hizmet olarak kötü amaçlı yazılımın çok sayıda “müşterisinin” artık sunucularına erişimlerinin olmadığını bildirmesiyle kesintiye uğradı.
Rhadamanthys, tarayıcılardan, e-posta istemcilerinden ve diğer uygulamalardan kimlik bilgilerini ve kimlik doğrulama çerezlerini çalan bir bilgi hırsızı kötü amaçlı yazılımıdır. Genellikle yazılım çatlakları, YouTube videoları veya kötü amaçlı arama reklamları olarak tanıtılan kampanyalar aracılığıyla dağıtılır.
Kötü amaçlı yazılım, siber suçluların geliştiriciye kötü amaçlı yazılıma, desteğe ve çalınan verileri toplamak için kullanılan bir web paneline erişim için aylık ücret ödediği bir abonelik modelinde sunulmaktadır.
Her ikisi de Rhadamanthys gibi kötü amaçlı yazılım operasyonlarını izleyen g0njxa ve Gi7w0rm olarak bilinen siber güvenlik araştırmacılarına göre, operasyona katılan siber suçluların kolluk kuvvetlerinin web panellerine erişim elde ettiğini iddia ettiğini bildirdi.
Bir bilgisayar korsanlığı forumunda yayınlanan bir gönderide, bazı müşteriler Rhadamanthys web panellerine SSH erişimini kaybettiklerini ve oturum açmak için artık normal root şifreleri yerine bir sertifikaya ihtiyaç duyduklarını belirtiyor.
Müşterilerden biri, “Şifreniz giriş yapamıyorsa. Sunucu giriş yöntemi de sertifika giriş moduna değiştirildi, lütfen kontrol edin ve onaylayın, eğer öyleyse, sunucunuzu hemen yeniden yükleyin, izleri silin, Alman polisi harekete geçiyor” diye yazdı müşterilerden biri.
Başka bir Rhadamanthys abonesi de aynı sorunları yaşadıklarını, sunucularının SSH erişiminin artık sertifika tabanlı oturum açmayı gerektirdiğini iddia etti.
Başka bir abone, “Konukların sunucumu ziyaret ettiğini ve şifrenin silindiğini onaylıyorum. KökSunucu girişi kesinlikle sertifikaya dayalı hale geldi, bu yüzden hemen her şeyi silip sunucuyu kapatmak zorunda kaldım. Bunu manuel olarak kuranlar muhtemelen zarar görmemişti, ancak “akıllı panel” aracılığıyla yükleyenler sert bir darbe aldı” diye yazdı başka bir abone.
Rhadamanthys geliştiricisinden gelen bir mesajda, AB veri merkezlerinde barındırılan web panellerinde, siber suçlular erişimi kaybetmeden önce Alman IP adreslerinin oturum açması nedeniyle kesintinin arkasında Alman emniyet teşkilatının olduğuna inandıkları belirtiliyor.
G0njxa, BleepingComputer’a, kötü amaçlı yazılım operasyonu için Tor soğan sitelerinin de çevrimdışı olduğunu ancak şu anda polis tarafından ele geçirilen bir afişin bulunmadığını, dolayısıyla kesintinin arkasında tam olarak kimin olduğunun belirsiz olduğunu söyledi.
BleepingComputer ile konuşan çok sayıda araştırmacı, bu kesintinin, hizmet olarak kötü amaçlı yazılım operasyonlarını hedef alan devam eden bir kolluk kuvveti eylemi olan Endgame Operasyonu’ndan gelecek bir duyuruyla ilgili olabileceğine inanıyor.
Endgame Operasyonu, lansmanından bu yana, fidye yazılımı altyapısı ve AVCheck sitesi, SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader ve SystemBC kötü amaçlı yazılım operasyonları da dahil olmak üzere çok sayıda kesintinin arkasında kaldı.
Endgame Operasyonu web sitesinde şu anda yeni eylemin Perşembe günü açıklanacağını belirten bir zamanlayıcı var.
BleepingComputer Alman polisi, Europol ve FBI ile temasa geçti ancak şu anda bir yanıt alamadı.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.