Киберполиция наносит удар по вредителю: операция Endgame разрушила инфраструктуру стейлера Rhadamanthys

Международные правоохранительные органы в сотрудничестве с частным сектором нанесли значительный удар по киберпреступности, нарушив работу инфраструктуры вредоносной программы Rhadamanthys. Эта операция стала частью масштабной инициативы Operation Endgame, направленной против ботнетов и распространения вредоносного программного обеспечения. Действия правоохранителей затронули не только основные серверы управления стейлером, но и инфраструктуру аффилированных лиц, использующих этот инструмент.

Описание

Rhadamanthys представляет собой модульный информационный вредитель, впервые обнаруженный в 2022 году. Зловред быстро завоевал популярность в преступных кругах благодаря своей гибкости и постоянному совершенствованию. Изначально предлагавшийся как простой стейлер, со временем он превратился в полноценную услугу вредоносного программного обеспечения как сервиса (MaaS). Разработчики регулярно выпускали обновления, улучшавшие возможности обхода систем безопасности и противодействия анализу.

Особенностью Rhadamanthys стала его модульная архитектура, позволявшая злоумышленникам настраивать функционал под конкретные задачи. Стоимость доступа к этому инструменту составляла от 300 до 500 долларов в месяц, с возможностью заказа кастомизированных версий по более высокой цене. Примечательно, что некоторые киберпреступные форумы запретили продажу Rhadamanthys из-за его способности поражать системы в России и странах СНГ.

Согласно данным исследовательской группы Proofpoint, в 2025 году наблюдался значительный рост кампаний с использованием этого стейлера. Угрозы доставлялись через электронную почту, скомпрометированные веб-сайты и мошенническую рекламу. Среди методов распространения выделялась техника социальной инженерии ClickFix, когда пользователям предлагалось скопировать и выполнить вредоносные PowerShell-скрипты.

Operation Endgame демонстрирует последовательный подход правоохранительных органов к борьбе с киберпреступностью. Первая волна операции в мае 2024 года была направлена против таких семейств вредоносных программ, как IcedID, Bumblebee и SystemBC. Вторая крупная акция в мае 2025 года затронула DanaBot, Trickbot и другие значимые угрозы. Эффект от этих действий уже заметен: доля целевых Operation Endgame вредоносных программ в почтовом трафике снизилась с 17% в марте 2023 года до 1% в сентябре 2025 года.

Развитие Rhadamanthys отражало современные тенденции киберпреступности. В 2024 году зловред получил возможность использования ИИ для распознавания и извлечения сид-фраз криптовалют из изображений. К 2025 году разработчики представили обновленную серию 0.9.X с улучшенной обфускацией сети и упаковки, расширенным сбором отпечатков устройств и браузеров, а также повторным внедрением стеганографии PNG для скрытия полезной нагрузки.

Многочисленные кампании с использованием Rhadamanthys демонстрировали разнообразие методов доставки. Злоумышленники использовали компрометированные веб-сайты с поддельными страницами верификации Cloudflare, рассылки с ссылками на фишинговые ресурсы, маскирующиеся под логистические компании, и сложные схемы с PDF-вложениями, имитирующими уведомления YouTube о нарушении авторских прав.

Нарушение работы инфраструктуры Rhadamanthys окажет значительное влияние на киберпреступную экосистему. Преступникам придется искать альтернативные инструменты и перестраивать свои атаки. Возможными преемниками могут стать такие стейлеры, как Amatera Stealer или Monster V2. Однако помимо технических сложностей, операции правоохранителей подрывают доверие внутри преступного сообщества, что может привести к ужесточению политик распространения вредоносного ПО.

Эксперты подчеркивают важность продолжения мониторинга за деятельностью угрозовых акторов, ранее использовавших Rhadamanthys. Организациям рекомендуется обращать внимание на растущую популярность программ удаленного управления и мониторинга, увеличение использования информационных вредителей и новые методы социальной инженерии, нацеленные на человеческий фактор.

Участие частных компаний в подобных операциях демонстрирует эффективность публично-частного партнерства в борьбе с киберпреступностью. Благодаря своему уникальному положению и экспертизе, компании безопасности могут предоставлять правоохранительным органам ценную информацию о крупнейших кампаниях по распространению вредоносных программ, что в конечном итоге способствует защите большего числа пользователей по всему миру.