国际警方摧毁Rhadamanthys信息窃取恶意软件及VenomRAT基础设施

国际警方已成功瓦解Rhadamanthys信息窃取恶意软件行动，在11月10日至13日的协调突袭中查获了与该恶意软件相关的1,025台服务器。

这项基础设施拆除行动是欧洲刑警组织和欧洲司法组织协调的长期"终结者行动"(Operation Endgame)的一部分，影响了全球数十万台受感染计算机，其中包含数百万条被盗凭证。

欧洲刑警组织表示，已有五名按感染付费的嫌疑人被逮捕，其中部分人向警方透露了秘密。“许多受害者并未意识到自己的系统已被感染，“行动声明中称。

今日的公告证实了最近关于Rhadamanthys被摧毁的报道，此前网络犯罪论坛曾报告欧洲执法部门已查封其基础设施。该恶意软件的管理员于11月11日告知客户"出于安全原因"停止使用工具，几小时后该行动的洋葱网站便无法访问。

按照"终结者行动"的典型做法，官员们发布了一段自鸣得意的动画视频，暗示在行动期间收集到的情报。视频描绘了一名单独的管理员涉嫌为个人利益筛选最有价值的秘密和加密货币密钥，仅将利润较低的数据传递给客户——这一策略旨在破坏犯罪组织内部的信任。

协助执法行动的Shadowserver基金会表示，官员们访问了一个Rhadamanthys数据库，显示在2025年3月至11月期间，226个国家/地区发生了超过525,000次感染，收集了超过8,600万条个人记录。

“终结者行动"团队在声明中表示：“该信息窃取软件的主要嫌疑人可访问属于这些受害者的超过10万个加密货币钱包，潜在价值达数百万欧元。”

虽然基础设施遭到破坏，但管理员和客户仍然在逃。动画视频最后呼吁公众帮助识别相关人员。

Rhadamanthys于2022年首次被发现，迅速成为犯罪地下世界中首选的凭证窃取工具。根据Proofpoint的数据，访问权限每月费用为300-500美元，定制配置价格更高。犯罪分子通常通过电子邮件、网页注入和恶意广告活动进行分发。

Proofpoint报告称，2025年Rhadamanthys的活动比以往任何年份都多，并将激增归因于越来越多使用受感染网站进行恶意软件分发。

该行动还针对Elysium僵尸网络和VenomRAT恶意软件，查封了它们的基础设施，并于11月3日在希腊逮捕了一名嫌疑人——VenomRAT的"主要嫌疑人”。警方搜查了11个地点：德国1个，希腊1个，荷兰9个。

“终结者行动"于2024年启动，反复针对恶意软件及其用于分发的僵尸网络。