Когда ты крутой взломщик, но плохой кодер. История о том, как админка вируса превратилась в проходной двор
NewsMakerОказывается, даже в самых защищённых системах всегда найдётся лазейка для опытных аналитиков.
Уязвимость в панели управления инфостилером Rhadamanthys неожиданно открыла редкое окно для защиты жертв, хоть и не принесла громкой победы над злоумышленниками. История, о которой рассказали на SANS CTI Summit 2026, показывает менее заметную сторону борьбы с киберпреступностью: даже ценные находки нередко упираются в границы полномочий частных компаний и не позволяют быстро остановить всю операцию.
Rhadamanthys появился на рынке инфостилеров летом 2022 года и быстро занял место среди инструментов для кражи логинов, паролей, данных браузеров, криптокошельков и других чувствительных файлов. Подобные журналы заражений затем становятся товаром на подпольных площадках, где украденные учётные записи перепродают для новых атак.
Авторы доклада описали слабое место в ранних версиях веб-панелей Rhadamanthys. Обычно операторам требовались логин и пароль, чтобы попасть в интерфейс, но часть API-запросов оставалась доступной без проверки. Такой просчёт позволял просматривать сведения о заражениях и выгружать данные прямо с сервера управления.
Команда специалистов и доверенных партнёров решила использовать доступ не для вмешательства в чужую инфраструктуру, а для снижения ущерба. С ноября 2022 года по начало января 2023 года группа собирала недавно похищенные учётные данные, которые появлялись на уязвимых панелях, а затем передавала сведения через существующие каналы оповещения пострадавших и реагирования. На пике работы массив наблюдений охватывал 303 сервера управления и более 70 тысяч журналов заражений.
Уязвимость в панели управления инфостилером Rhadamanthys неожиданно открыла редкое окно для защиты жертв, хоть и не принесла громкой победы над злоумышленниками. История, о которой рассказали на SANS CTI Summit 2026, показывает менее заметную сторону борьбы с киберпреступностью: даже ценные находки нередко упираются в границы полномочий частных компаний и не позволяют быстро остановить всю операцию.
Rhadamanthys появился на рынке инфостилеров летом 2022 года и быстро занял место среди инструментов для кражи логинов, паролей, данных браузеров, криптокошельков и других чувствительных файлов. Подобные журналы заражений затем становятся товаром на подпольных площадках, где украденные учётные записи перепродают для новых атак.
Авторы доклада описали слабое место в ранних версиях веб-панелей Rhadamanthys. Обычно операторам требовались логин и пароль, чтобы попасть в интерфейс, но часть API-запросов оставалась доступной без проверки. Такой просчёт позволял просматривать сведения о заражениях и выгружать данные прямо с сервера управления.
Команда специалистов и доверенных партнёров решила использовать доступ не для вмешательства в чужую инфраструктуру, а для снижения ущерба. С ноября 2022 года по начало января 2023 года группа собирала недавно похищенные учётные данные, которые появлялись на уязвимых панелях, а затем передавала сведения через существующие каналы оповещения пострадавших и реагирования. На пике работы массив наблюдений охватывал 303 сервера управления и более 70 тысяч журналов заражений.