Caros leitores(a) alguns relatórios recentes indicam que servidores centrais da operação de malware‑como‑serviço (MaaS) chamada Rhadamanthys foram comprometidos por uma força policial européia, possivelmente na Alemanha.
Usuários da operação relatam que, de repente, perderam acesso aos painéis de controle que antes utilizavam com credenciais tradicionais. A mudança abrupta levou a comunidade criminosa a suspeitar de uma ação coordenada de aplicação da lei.
Na sequência, diversos operadores foram instruídos a desligar servidores, apagar logs e migrar urgentemente a infraestrutura para locais desconhecidos.
Painel de controle mudado e operadores em alerta máximo
O primeiro indício dessa intervenção ocorreu com a alteração do método de login dos painéis de controle da Rhadamanthys: a autenticação por senha foi substituída por login exclusivo via certificado digital, bloqueando o acesso normal dos operadores.
Mensagens postadas em fóruns underground relatavam que “o root login foi deletado” e que “visitantes não convidados” haviam acessado os servidores comprometidos. O administrador da campanha orientou todas as operações a pausarem imediatamente, realizarem reinstalação completa dos sistemas e evitarem comunicações até nova orientação.
Impacto operacional e vazamento de credenciais
A interrupção da infraestrutura não se limitou à simples inacessibilidade: vários usuários informaram que os domínios .onion usados pela operação estavam offline ou inacessíveis, sugerindo que a ação policial incluiu bloqueios de DNS ou remanejamento forçado da rede Tor.
Tais medidas complicam a capacidade dos clientes da Rhadamanthys de continuar a receber dados roubados ou operar normalmente.
A escala dessa interrupção é considerada uma das maiores já registradas contra um infostealer em serviço, o que reduz temporariamente a capacidade dos criminosos de produzir ou monetizar novas credenciais.
Histórico da Rhadamanthys e modelo de negócios
A Rhadamanthys é oferecida no modelo Malware‑as‑a‑Service, direcionada ao roubo de credenciais, cookies de navegador, carteiras de criptomoedas e diversos dados sensíveis.
Ela distribui‑se principalmente via campanhas de phishing, anúncios maliciosos e downloads disfarçados. Usuários pagam assinatura mensal para acesso ao painel que recolhe os dados extraídos dos sistemas infectados.
A operação ganhou destaque na comunidade de cibercrime devido à sua rapidez de implantação e ao amplo leque de funcionalidades.
O que esse caso significa para a resposta a infostealers
A ação coordenada contra a Rhadamanthys demonstra que infraestruturas criminosas globais podem ser efetivamente visadas por autoridades quando identificadas.
Para empresas e equipes de segurança, o episódio reforça a necessidade de monitoramento constante de credenciais vazadas, segmentação de redes, autenticação multifator robusta e resposta rápida a incidentes de roubo de dados.
Este tipo de ataque exige que as organizações assumam que os sistemas de vazamento como um infostealer podem estar operando a qualquer momento e que interrompê‑los requer vigilância ativa e colaboração internacional.
