Operation Endgame 3.0: Xóa sổ 1,000 máy chủ và ba dòng mã độc trong đợt truy quét trong năm 2025

[trungthuc]

Cơ quan thực thi pháp luật ở châu Âu vừa phối hợp cùng nhiều quốc gia khác mở đợt truy quét với quy mô lớn mang tên Operation Endgame 3.0. Đây được xem là một trong những chiến dịch chống tội phạm mạng lớn nhất trong năm 2025, hướng thẳng vào hạ tầng của ba dòng mã độc đang gây ra thiệt hại nặng nề trên toàn thế giới: Rhadamanthys, VenomRAT và Elysium.

Trong đợt truy quét này, các cơ quan phối hợp đã vô hiệu hóa hơn 1,000 máy chủ điều khiển và xoá dẹp hàng loạt tên miền phục vụ bọn tội phạm mạng. Kết quả này không chỉ đã cắt đứt các kênh hoạt động của nhiều nhóm tin tặc, mà còn ngăn chặn nguy cơ lan rộng của những đợt tấn công chiếm đoạt số liệu, tài khoản đăng nhập và ví tiền điện tử.
Rhadamanthys là một loại phần mềm chuyên lấy cắp thông tin (infostealer) chuyên thu thập thông tin đăng nhập, cookie trình duyệt và dữ liệu ví tiền điện tử. Chỉ riêng dòng mã độc này đã giúp cho bọn xấu có được quyền truy cập vào hơn 100,000 ví tiền mã hóa, với giá trị ước tính lên tới hàng triệu euro.
VenomRAT cho phép bọn tin tặc điều khiển máy tính từ xa để do thám, cài thêm mã độc hoặc cho triển khai ransomware để tống tiền.
Elysium hoạt động như một mạng botnet, tận dụng hàng ngàn máy tính bị lây nhiễm để thực hiện tấn công từ chối dịch vụ (DDoS) hoặc phát tán thư rác trên diện rộng.

Những công cụ này đứng sau hàng loạt vụ tấn công mạng trên toàn cầu, gây ảnh hưởng xấu đến hàng trăm ngàn nạn nhân. Điều đáng lo ngại là có rất nhiều nạn nhân vẫn không hề biết thiết bị của mình đã bị tin tặc lén lút xâm nhập. Infostealer và RAT thường hoạt động khá âm thầm, không gây ra xáo trộn trong hệ thống, khiến cho càng khó phát hiện ra.

(Minh hoạ)

Operation Endgame lần này có sự góp mặt của giới cảnh sát và công tố viên từ 11 quốc gia, trải dài từ Úc, Canada, Đan Mạch cho đến Pháp, Đức, Hy Lạp, Litva, Hoà Lan, Anh và Hoa Kỳ.

Trung tâm chỉ huy đặt tại Europol quy tụ hơn 100 sĩ quan làm việc liên tục trong nhiều ngày, chia sẻ số liệu trong các máy chủ bị tịch thu, phân tích nguồn tiền và xác định vai trò của các tên nghi phạm. Eurojust hỗ trợ về mặt pháp lý, bao gồm phát hành Lệnh bắt giữ ở châu Âu và điều phối lệnh khám xét xuyên quốc gia.

Bên cạnh các cơ quan cấp quốc gia, nhiều tổ chức an ninh mạng quốc tế cũng đóng vai trò quan trọng như: Shadowserver, Cryptolaemus, SpyCloud, CrowdStrike, Proofpoint, Lumen, Abuse.ch, Spamhaus, Bitdefender... đã cùng góp mặt tham gia.

Các đội ngũ chuyên gia này hỗ trợ về mặt kỹ thuật như phân tích mã độc, theo dõi các giao dịch, thu thập hạ tầng máy chủ và thực hiện sinkhole (chuyển hướng máy tính nhiễm malware sang máy chủ do giới chức năng kiểm soát để vô hiệu hóa các hoạt động của chúng).

Một đối tượng được coi là "nhân vật chủ chốt" trong mạng VenomRAT đã bị bắt tại Hy Lạp, góp phần làm suy yếu đáng kể chuỗi cung ứng của dòng mã độc này. Nhiều máy chủ điều khiển (C2) nằm tại châu Âu và Bắc Mỹ đã bị tịch thu, khiến cho các chiêu trò tấn công phụ thuộc vào chúng gần như bị tê liệt ngay lập tức.

Dù đạt được kết quả lớn, các chuyên gia cảnh cáo rằng cuộc chiến còn lâu mới sẽ kết thúc. Những mạng tội phạm theo mô hình "cho thuê mướn mã độc"("malware-as-a-service") có thể được tái lập nhanh chóng khi bọn tin tặc liên tục cho thay đổi tên miền, mua hạ tầng mới hoặc cho cập nhật lại mã độc.

Thành công của Operation Endgame 3.0 cho thấy sức mạnh của sự hợp tác quốc tế, khi có nhiều quốc gia và công ty an ninh an ninh mạng cùng lúc tấn công vào hạ tầng kỹ thuật, bọn tội phạm mạng sẽ mất đi thời gian, nguồn lực và cả lợi nhuận. Các chuyên gia an ninh mạng đồng loạt khuyến cáo người tiêu dùng nên luôn luôn tự kiểm tra xem thông tin cá nhân của mình có bị rò rỉ hay không thông qua các trang uy tín.

Với các công ty, việc tăng cường kiểm soát sự truy cập, cho quét mã độc định kỳ và huấn luyện nhân viên nhận diện email giả mạo vẫn là biện pháp quan trọng để tránh trở thành nạn nhân.

Đợt truy quét lần này không chỉ dừng lại ở việc triệt phá vài hạ tầng chứa malware, mà còn mang ý nghĩa lớn hơn, đó là nỗ lực tháo gỡ và triệt hạ cơ sơ dịch vụ nền tảng của tội phạm mạng, nơi các mã độc trộm số liệu, được điều khiển từ xa và mạng botnet hỗ trợ cho các cuộc tấn công ransomware toàn cầu. Khi những mắt xích cốt lõi bị phá vỡ, hệ thống tội phạm phía sau ít nhiều cũng bị suy yếu đáng kể.

Tổng hợp