La ofensiva policial denominada Operation Endgame, neutralizó más de mil servidores utilizados para propagar los malware Rhadamanthys, VenomRAT y la botnet Elysium, además de concretar arrestos y decomisos claves.
Una amplia acción conjunta de fuerzas policiales de Europa, Norteamérica y Oceanía permitió desarticular parte esencial de la infraestructura detrás de tres herramientas centrales para el crimen cibernético: el infostealer Rhadamanthys, el troyano de acceso remoto VenomRAT y la botnet Elysium.
La operación, desarrollada entre el 10 y el 14 de noviembre, forma parte de una nueva fase de Operation Endgame, iniciativa internacional orientada a interrumpir redes delictuales y reducir el alcance de sus actividades a nivel global.
Según Europol, la ofensiva incluyó la intervención de autoridades de Australia, Bélgica, Canadá, Dinamarca, Francia, Alemania, Grecia, Lituania, Países Bajos, Reino Unido y Estados Unidos, además del apoyo de compañías y organizaciones especializadas como Cryptolaemus, Shadowserver, Spycloud, Proofpoint, CrowdStrike, Lumen, Abuse.ch, DIVD, Bitdefender y HaveIBeenPwned.
El despliegue se concentró en 11 registros realizados en Alemania, Grecia y Países Bajos, junto con la incautación de 20 dominios y la neutralización de 1.025 servidores utilizados para administrar estas operaciones de malware. Como resultado, quedó inutilizada la infraestructura que alimentaba campañas de infección que, de acuerdo con Europol, afectaban a “cientos de miles de víctimas en todo el mundo”.
Uno de los hitos del procedimiento fue la detención, en Grecia, de un sospechoso considerado pieza central en el funcionamiento del troyano VenomRAT. Aunque su identidad no fue revelada, los antecedentes recopilados por los investigadores indican que administraba volúmenes significativos de información acumulada mediante accesos remotos ilícitos. Europol precisó que la infraestructura desmantelada contenía “varios millones de credenciales robadas” y que uno de los principales involucrados tenía control sobre “más de 100.000 billeteras de criptomonedas” pertenecientes a usuarios comprometidos.
En el caso de Rhadamanthys, la interrupción de sus nodos confirma reportes previos que indicaban que los administradores del servicio habían perdido acceso a los paneles de control. Rhadamanthys llegó a operar hasta 535 servidores activos por día, con fuerte presencia en Estados Unidos, Alemania, Reino Unido y Países Bajos. Además, y más del 60% de sus servidores de comando y control no figuraban como detectados en plataformas de análisis como VirusTotal.
Las autoridades indicaron que quienes deseen revisar si han sido afectados por estos actores de amenaza pueden consultar los portales politie.nl/checkyourhack y haveibeenpwned.com, donde es posible verificar direcciones de correo y contraseñas comprometidas. En total, se encuentran disponibles alrededor de 2 millones de correos electrónicos y 7,4 millones de contraseñas relacionadas con las operaciones desarticuladas.
El sitio asociado a VenomRAT también fue tomado por las autoridades, y actualmente muestra un aviso que indica que la información alojada en ese dominio fue incautada y que “cualquier persona que opere o utilice estos servicios criminales está sujeta a investigación y enjuiciamiento”. A su vez, la plataforma de Operation Endgame publicó un video con detalles sobre el bloqueo de Rhadamanthys e hizo un llamado a aportar antecedentes para identificar a colaboradores o usuarios de estas herramientas delictivas.