Nguyễn Tiến Đạt
Intern Writer
Chiến dịch Endgame tiếp tục bước sang giai đoạn mới khi Europol và Eurojust phối hợp lực lượng thực thi pháp luật nhiều quốc gia để đánh sập các cơ sở hạ tầng tội phạm mạng liên quan đến Rhadamanthys Stealer, Venom RAT và botnet Elysium. Đợt truy quét diễn ra từ ngày 10 đến 13/11/2025, mang lại một trong những thành tựu lớn nhất trong cuộc chiến chống các nhóm tội phạm mạng đang thúc đẩy hoạt động ransomware toàn cầu.
Trước đó, ngày 3/11, nghi phạm chính điều hành Venom RAT đã bị bắt tại Hy Lạp. Trong chiến dịch, hơn 1.025 máy chủ độc hại đã bị phá hủy và 20 tên miền bị thu giữ. Theo Europol, số lượng cơ sở hạ tầng bị đánh sập liên quan đến hàng trăm nghìn máy tính bị nhiễm, chứa hàng triệu thông tin đăng nhập bị đánh cắp mà nhiều nạn nhân thậm chí không hề biết thiết bị của mình đã bị xâm nhập.
Một chi tiết đáng chú ý khác là nghi phạm đứng sau hệ thống đánh cắp dữ liệu đã truy cập trái phép vào trên 100.000 ví tiền điện tử của nạn nhân, với tổng giá trị có thể lên tới hàng triệu euro (đổi sang VNĐ: hàng chục đến hàng trăm tỷ đồng, tùy tỷ giá).
Shadowserver Foundation – tổ chức phi lợi nhuận hỗ trợ chiến dịch – ghi nhận 525.303 ca nhiễm Rhadamanthys từ tháng 3 đến tháng 11/2025, lan rộng trên 226 quốc gia và vùng lãnh thổ, tạo ra hơn 86,2 triệu sự kiện đánh cắp thông tin. Trong số này, khoảng 63.000 địa chỉ IP nạn nhân thuộc về Ấn Độ.
Tổ chức cũng cảnh báo rằng những hệ thống từng nhiễm Rhadamanthys có thể đã bị sử dụng trong các vụ xâm nhập hoặc sự cố ransomware thời gian gần đây, và cần được rà soát – khắc phục triệt để để ngăn rủi ro tiếp tục lan rộng.
Tuy nhiên, CrowdStrike cũng cảnh báo rằng sự gián đoạn không đồng nghĩa với việc các nhóm tội phạm bị xóa sổ hoàn toàn. Đây là cơ hội để các tổ chức củng cố phòng thủ, nâng cao giám sát và chuẩn bị đối phó với thế hệ công cụ mới mà tội phạm mạng có thể triển khai sau khi bị tấn công.
Chiến dịch lần này có sự tham gia của lực lượng thực thi pháp luật từ Úc, Canada, Đan Mạch, Pháp, Đức, Hy Lạp, Litva, Hà Lan và Hoa Kỳ – cho thấy nỗ lực toàn cầu trong việc phá vỡ hạ tầng tội phạm mạng ngày càng mạnh mẽ và thống nhất. ( thehackernews )
Trước đó, ngày 3/11, nghi phạm chính điều hành Venom RAT đã bị bắt tại Hy Lạp. Trong chiến dịch, hơn 1.025 máy chủ độc hại đã bị phá hủy và 20 tên miền bị thu giữ. Theo Europol, số lượng cơ sở hạ tầng bị đánh sập liên quan đến hàng trăm nghìn máy tính bị nhiễm, chứa hàng triệu thông tin đăng nhập bị đánh cắp mà nhiều nạn nhân thậm chí không hề biết thiết bị của mình đã bị xâm nhập.
Một chi tiết đáng chú ý khác là nghi phạm đứng sau hệ thống đánh cắp dữ liệu đã truy cập trái phép vào trên 100.000 ví tiền điện tử của nạn nhân, với tổng giá trị có thể lên tới hàng triệu euro (đổi sang VNĐ: hàng chục đến hàng trăm tỷ đồng, tùy tỷ giá).
Hoạt động của Rhadamanthys, Venom RAT và những phát hiện mới
Một phân tích gần đây của Check Point cho biết phiên bản Rhadamanthys mới nhất đã được nâng cấp với khả năng thu thập dấu vân tay thiết bị và trình duyệt, đồng thời bổ sung nhiều cơ chế che giấu để hoạt động tinh vi hơn. Điều này cho thấy loại mã độc này không chỉ đánh cắp thông tin mà còn có thể được sử dụng để phát tán thêm phần mềm độc hại trên các hệ thống đã bị xâm nhập.
Shadowserver Foundation – tổ chức phi lợi nhuận hỗ trợ chiến dịch – ghi nhận 525.303 ca nhiễm Rhadamanthys từ tháng 3 đến tháng 11/2025, lan rộng trên 226 quốc gia và vùng lãnh thổ, tạo ra hơn 86,2 triệu sự kiện đánh cắp thông tin. Trong số này, khoảng 63.000 địa chỉ IP nạn nhân thuộc về Ấn Độ.
Tổ chức cũng cảnh báo rằng những hệ thống từng nhiễm Rhadamanthys có thể đã bị sử dụng trong các vụ xâm nhập hoặc sự cố ransomware thời gian gần đây, và cần được rà soát – khắc phục triệt để để ngăn rủi ro tiếp tục lan rộng.
Ý nghĩa của chiến dịch Endgame 3.0 đối với cuộc chiến chống ransomware
Theo CrowdStrike, chiến dịch này cho thấy sức mạnh của việc tấn công vào “điểm nút” của chuỗi tấn công ransomware – cụ thể là những kẻ môi giới truy cập ban đầu, kẻ tải mã độc và kẻ đánh cắp thông tin – thay vì chỉ nhắm vào người vận hành cuối cùng. Việc đánh sập cơ sở hạ tầng cốt lõi sẽ tạo ra hiệu ứng lan tỏa trong toàn bộ hệ sinh thái tội phạm mạng.Tuy nhiên, CrowdStrike cũng cảnh báo rằng sự gián đoạn không đồng nghĩa với việc các nhóm tội phạm bị xóa sổ hoàn toàn. Đây là cơ hội để các tổ chức củng cố phòng thủ, nâng cao giám sát và chuẩn bị đối phó với thế hệ công cụ mới mà tội phạm mạng có thể triển khai sau khi bị tấn công.
Chiến dịch lần này có sự tham gia của lực lượng thực thi pháp luật từ Úc, Canada, Đan Mạch, Pháp, Đức, Hy Lạp, Litva, Hà Lan và Hoa Kỳ – cho thấy nỗ lực toàn cầu trong việc phá vỡ hạ tầng tội phạm mạng ngày càng mạnh mẽ và thống nhất. ( thehackernews )
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
