Desativação de mais de mil servidores de hackers

Operação Endgame: uma ofensiva global que desativou mais de mil servidores de hackers e redefiniu o combate ao cibercrime

Uma ação coordenada em nível internacional — envolvendo Europol, Eurojust e agências policiais de múltiplos países — culminou no desligamento de mais de 1 000 servidores associados a uma rede criminosa que utilizava os malwares Rhadamanthys Stealer e Venom RAT, além do bot Elysium bot, para ataques de ransomware e exfiltração de dados. A operação pública foi anunciada em 10 de novembro de 2025.

Contexto da rede criminosa e principais vetores

As investigações revelaram que os malwares em questão compunham uma infraestrutura de ataque ampla: o Rhadamanthys Stealer era empregado para coleta de credenciais e impressões digitais dos dispositivos e navegadores das vítimas; o Venom RAT oferecia controle remoto pleno dos sistemas infectados; e o Elysium bot operava como componente de apoio — propagação ou orquestração da rede maliciosa. A atuação combinada permitia não só a infiltração, mas a persistência, movimentação lateral e exfiltração em larga escala.

Segundo a Europol, a rede mantinha “centenas de milhares de computadores infectados”, milhões de credenciais roubadas e cerca de 100 mil carteiras de criptomoedas comprometidas — com valores que poderiam se elevar a milhões de euros.
A detenção do principal suspeito por trás do Venom RAT ocorreu na Grécia em 3 de novembro. A operação desmantelou vários domínios (~20) e desligou os servidores base da operação.

Impactos operacionais para organizações e usuários finais

A escala da operação deixa clara a amplitude da ameaça enfrentada:

• Empresas e usuários tendem a acreditar que ransomware ou malwares sofisticados são isolados ou altamente complexos, mas a atuação dessa rede demonstra o uso de ferramentas “acessíveis” com infraestrutura global de comando e controle.

• A exfiltração de dados de credenciais e carteiras de criptomoedas revela que não se trata apenas de cifrar sistemas para extorsão, mas de construir ativos de longo prazo para operações ilícitas — espionagem, fraude, lavagem de dinheiro.

• Sistemas comprometidos por meses (ou mais) podem servir como pivôs para redes empresariais, especialmente em ambientes de BYOD ou pouco segmentados, evidenciando que qualquer endpoint vulnerável representa uma porta para a cadeia corporativa.

• A ação conjunta das agências mostra que a resposta ao cibercrime já exige coordenação internacional, não bastando abordagens isoladas locais.

Lições estratégicas para segurança cibernética

Como analista de cibersegurança, este caso evidencia várias lições práticas e estratégicas:

• Inventário ativo de servidores e dispositivos — garantir que todos os servidores da organização, mesmo fora da TI central (filiais, IoT, backup), sejam identificados, monitorados e mantidos atualizados.

• Segmentação de rede e limitação de movimento lateral — mesmo se um endpoint for comprometido, é fundamental que não acesse servidores críticos ou que movimente dados sensíveis sem barreiras técnicas.

• Monitoramento de comando e controle (C2) — observar comunicações de saída inusitadas, acessos a servidores externos desconhecidos ou domínios recentemente registrados — esse tipo de botnet/servidor malicioso depende de C2 para operar e pode ser detectado.

• Resposta e recuperação de incidentes — preparar plano de ação para desligar/conter hosts infectados, restaurar de backups limpos, comunicar às autoridades internacionais se houver escala e pensar em impacto regulatório.

• Educação e governança de credenciais — credenciais roubadas (como as milhões relatadas) são o primeiro passo para infiltração profunda. Políticas de autenticação forte, rotação de credenciais e supervisão de logins suspeitos são críticos.

• Cooperação e compartilhamento de inteligência de ameaças — este tipo de operação demonstra que o esforço setorial (força-tarefa internacional, compartilhamento de IOC, consulta ativa) amplia a eficácia da proteção.

Conclusão

A Operação Endgame marca um ponto de inflexão no combate ao cibercrime: não apenas pela escala — mil servidores destruídos, dezenas de domínios apreendidos, centenas de milhares de sistemas infectados —, mas pelo tipo de rede atacando globalmente, com múltiplos malwares e serviços e-crime sincronizados. Para as organizações, isso reforça que a segurança não é apenas defensiva, mas requer vigilância ativa, colaboração internacional e arquitetura resiliente. Evitar o incidente não significa apenas instalar antivírus ou firewalls, mas construir uma postura de segurança adaptativa, capaz de detectar, isolar e responder a redes criminosas articuladas como essa — as quais hoje operam como negócios globais. Em última análise, proteger-se hoje significa pensar como defensor e como adversário: identificar as infraestruturas que o atacante verá primeiro, bloquear sua movimentação, reduzir o impacto e contar com aliados para cortar os nós da rede maliciosa.

Referência bibliográfica

• Sousa, Jaqueline; Oliveira, Jones. “Megaoperação policial desliga mil servidores de hackers em todo o mundo”. Canaltech. Disponível em: https://canaltech.com.br/seguranca/megaoperacao-policial-desliga-mil-servidores-de-hackers-em-todo-o-mundo/