Operação Endgame desativa redes Rhadamanthys, VenomRAT e Elysium e apreende 1.025 servidores maliciosos
Lead
A Operação Endgame, coordenada pela Europol com apoio de mais de trinta instituições públicas e privadas, desmantelou a infraestrutura dos grupos cibercriminosos Rhadamanthys, VenomRAT e Elysium. A ofensiva resultou na prisão de suspeitos, na remoção de 1.025 servidores maliciosos, na apreensão de 20 domínios usados em ataques e na interrupção de campanhas que alcançaram centenas de milhares de vítimas ao redor do mundo.
- Quem participou da ação internacional
- O que foi desmantelado
- Quando ocorreram as principais etapas
- Onde foram efetuadas as ações policiais
- Como a derrubada foi executada
- Por que a operação era necessária
- Impacto direto sobre vítimas e credenciais
- Colaboração entre setores público e privado
- Situação atual das investigações
Quem participou da ação internacional
A força-tarefa foi conduzida pela Europol, agência de cooperação policial da União Europeia, e mobilizou mais de trinta organizações parceiras. Entre os países diretamente envolvidos figuram Austrália, Alemanha, Bélgica, Canadá, França, Grécia, Lituânia, Reino Unido e Estados Unidos. A lista inclui tanto organismos estatais quanto entidades privadas especializadas em segurança digital, compondo um arranjo multissetorial que uniu recursos legais, técnicos e logísticos para atingir os operadores das três redes ilícitas.
Além das agências de investigação, a iniciativa contou com a colaboração do serviço Have I Been Pwned. A plataforma, conhecida por permitir a verificação de credenciais vazadas, passou a disponibilizar consulta específica para usuários potencialmente afetados pelas atividades dos grupos derrubados.
O que foi desmantelado
Os alvos da Operação Endgame eram três frentes distintas do cibercrime:
Rhadamanthys – classificado pelas autoridades como um dos maiores infostealers em operação, o grupo mantinha um arsenal de credenciais furtadas e acesso a mais de 100 mil carteiras de criptomoedas, estimadas em milhões de euros.
VenomRAT – trojan de acesso remoto associado a invasões em escala global. Um suspeito apontado como líder desse esquema foi preso na Grécia em 3 de novembro, passo considerado decisivo para colapsar a cadeia de comando do malware.
Elysium – botnet responsável por controlar redes de dispositivos comprometidos, utilizada para expandir a distribuição de códigos maliciosos e consolidar o roubo de dados de login.
Com a derrubada dessas estruturas, os investigadores imobilizaram servidores de comando e controle, interromperam canais de distribuição de malware e bloquearam rotas de exfiltração de informações sensíveis.
Quando ocorreram as principais etapas
A operação se estendeu por vários meses, mas a fase decisiva foi executada entre 10 e 13 de novembro. Nesses quatro dias, as equipes conjuntas apreenderam 20 domínios registrados pelos criminosos, retiraram do ar 1.025 servidores utilizados para orquestrar ataques e confiscaram milhares de computadores ligados às redes ilícitas. Antes do encerramento dessa etapa, em 3 de novembro, já havia sido realizada a prisão na Grécia, alvo que a Europol classificou como central na hierarquia do VenomRAT.
Onde foram efetuadas as ações policiais
Os desdobramentos ocorreram simultaneamente em múltiplos continentes. Na Europa, investigações físicas aconteceram na Grécia, Alemanha, Bélgica, França e Lituânia. Fora do bloco, forças de segurança da Austrália, Canadá, Reino Unido e Estados Unidos contribuíram tanto com inteligência quanto com ações de campo e medidas de bloqueio de infraestrutura na internet. A abrangência geográfica reflete a natureza distribuída das operações de Rhadamanthys, VenomRAT e Elysium, que exploravam servidores hospedados em diferentes jurisdições para dificultar a repressão.
Como a derrubada foi executada
A metodologia envolveu três frentes coordenadas. A primeira consistiu na identificação de domínios diretamente ligados aos grupos, seguida pelo sequestro ou congelamento desses endereços na zona de registro. A segunda etapa tratou da remoção física ou lógica de servidores de comando e controle, tarefa que exigiu a cooperação de provedores de hospedagem para desativar máquinas virtuais, bloquear endereços IP e preservar evidências forenses. A terceira frente, mais ampla, concentrou-se na análise de dispositivos finais afetados, permitindo que as equipes localizassem credenciais roubadas e vinculassem carteiras de criptomoedas ao principal suspeito do Rhadamanthys.
Esse processo culminou na apreensão de dados que indicam a dimensão dos danos: centenas de milhares de usuários tiveram informações capturadas, e milhões de combinações de login e senha foram encontradas nos servidores desmontados.
Por que a operação era necessária
Segundo a Europol, a ameaça representada por Rhadamanthys, VenomRAT e Elysium combinava amplitude e sofisticação. O Rhadamanthys, ao manter acesso a mais de 100 mil carteiras de criptomoedas, colocava em risco valores que podem alcançar patamares multimilionários em euros. O VenomRAT, equipado para controle remoto de máquinas, facilitava espionagem, fraude financeira e propagação automática de malware. O Elysium, por sua vez, alavancava uma botnet que reforçava a distribuição de arquivos maliciosos e sustentava novas infecções.
A maior parte das vítimas, conforme indicaram as autoridades, não tinha ciência de que seus dispositivos ou contas haviam sido comprometidos. Esse cenário motivou a articulação urgente de uma ação global capaz de quebrar a infraestrutura dos criminosos e, paralelamente, orientar usuários sobre como verificar se foram afetados.
Impacto direto sobre vítimas e credenciais
Os dados recuperados durante a ofensiva revelam um acervo de milhões de credenciais furtadas, espalhadas por milhares de computadores controlados remotamente. Ao mesmo tempo, os investigadores identificaram a extensa coleção de carteiras de criptomoedas atraídas pelo Rhadamanthys. A soma indica que os três grupos, em conjunto, desenvolveram um ecossistema voltado à obtenção e monetização de dados sensíveis em larga escala.
Para mitigar os prejuízos, a Europol divulgou a parceria com o Have I Been Pwned, permitindo que qualquer usuário consulte se suas informações foram capturadas pelas redes agora desativadas. A iniciativa amplia o alcance preventivo da Operação Endgame e oferece aos cidadãos um meio direto de confirmar eventuais vazamentos.
Colaboração entre setores público e privado
A ofensiva destacou a importância de aliar autoridades policiais a empresas de tecnologia e a provedores de serviços. Organizações privadas contribuíram com inteligência de ameaças, entregaram registros de tráfego de rede e ajudaram a redirecionar domínios para servidores controlados pela investigação. Essa abordagem integrada foi apontada pelos coordenadores como um fator crítico para localizar rapidamente os 1.025 servidores maliciosos e preservar provas digitais que sustentam processos criminais em várias jurisdições.
Situação atual das investigações
Embora a fase entre 10 e 13 de novembro tenha marcado um ponto de virada, a Europol informou que a Operação Endgame permanece em andamento. Equipes continuam analisando os dados obtidos, identificando vítimas adicionais e rastreando fluxos de criptomoedas associados ao principal suspeito do Rhadamanthys. Novas medidas judiciais podem ocorrer conforme as perícias avancem e outras ramificações da rede criminal sejam mapeadas.
Como a operação segue ativa, os responsáveis recomendam que usuários monitorem comunicados oficiais e utilizem a verificação disponível no Have I Been Pwned para checar possíveis compromissos de segurança em suas contas.
Conteúdo Relacionado