La policía holandesa (Politie) ha anunciado que ha desmantelado los servidores que alimentan las herramientas de robo de información Redline y Meta, dos herramientas clave en el arsenal de los ciberdelincuentes modernos.
El periódico Politier dio la noticia del éxito de la Operación Magnus el lunes en lo que parece ser una continuación del modelo de ciberataque policial. La idea era ridiculizar a los implicados y ir dando a conocer detalles de la operación a lo largo de varios días. LockBit y Operation Endgame adoptaron el mismo enfoque a principios de este año.
“Esta es la última actualización para Redline y Meta”, fueron las palabras con las que se abrió el anuncio de la operación, que parecía un vídeo de marketing que presentaba nuevas funciones para famosos ladrones de información.
Politi dijo que trabajó con numerosas agencias internacionales de aplicación de la ley para alterar la infraestructura de Red Line y Meta.
“Ahora tenemos acceso completo a todos los servidores Redline y Meta. ¿Sabías que en realidad son casi iguales?”, continúa el video.
Los datos a los que tuvieron acceso las fuerzas del orden incluían nombres de usuario, contraseñas, direcciones IP, marcas de tiempo, fechas de registro y “mucho más”.
Los investigadores dicen que también obtuvieron todo el código fuente de ambos ladrones de información, incluidas licencias, servidores API REST, paneles de usuario y bots de Telegram.
En el video también se ve una serie de nombres de usuario, lo que sugiere que las autoridades ahora tienen una lista de personas que pagaron por el malware y pueden haberlo introducido al menos una vez.
Operation Kronos, el grupo de trabajo que interrumpió LockBit en febrero, publicó una lista similar después de obtener acceso al backend del grupo de ransomware, exponiendo los alias de todos los afiliados conocidos.
“El estado VIP para todos los usuarios de Redline y Meta VIP significa “Persona de gran importancia para la policía”. Gracias por instalar esta actualización. Esperamos volver a verte”, finaliza el vídeo con una representación de las manos esposadas.
El Registro preguntó al Secretario Parlamentario si ya se había producido algún arresto y más detalles sobre el incidente, pero no hubo respuesta inmediata.
Sin embargo, un sitio web dedicado a la Operación Magnus sugiere que es posible que se realicen arrestos pronto, si no todavía.
“Las partes involucradas han sido notificadas y se están llevando a cabo acciones legales”, dice el sitio.
La próxima actualización sobre los esfuerzos de la operación está prevista para el martes por la mañana, según una cuenta atrás en el sitio web.
eliminó el llavero
El malware que roba información, como Redline y Meta, son herramientas importantes para los ciberdelincuentes durante las primeras etapas de un ataque.
Estos ladrones, que a menudo se propagan a través de correos electrónicos de phishing y sitios web comprometidos, escanean las máquinas de las víctimas para revelar secretos y credenciales almacenados en navegadores, correos electrónicos, aplicaciones de mensajería y otro software. Está diseñado para escanear y eventualmente podría usarse en ataques más serios.
Las personas detrás de los ladrones de información utilizan las credenciales para sus propias actividades fraudulentas o las venden a otros que las utilizan para comprometer organizaciones, a menudo en ransomware y otros ataques lucrativos a Connect.
Redline existe desde hace un tiempo, los investigadores lo descubrieron por primera vez en 2020. Se describe como un malware como servicio (MaaS) asequible, con precios que comienzan en sólo 150 dólares por usuario y aumentan hasta 800 dólares para una versión “pro” con todas las funciones. versión.
Lo que indica cuán confiable y popular era el ladrón de Redline, mientras que los extorsionadores en serie que componen Scattered Spider son clientes conocidos del malware, otros equipos importantes también usan ladrones de información con mayor frecuencia.
Meta es un malware relativamente nuevo, visto por primera vez en 2022 y que se propaga principalmente a través de correos electrónicos de phishing.
La tienda de seguridad Acronis dijo que vende una versión de acceso permanente que ofrece una funcionalidad similar a Redline por 125 o 1.000 dólares.
“Este malware se está distribuyendo actualmente a través de una amplia campaña de correo electrónico, atrayendo a las víctimas con la promesa de un 'reembolso' mediante el envío de dinero”, dijo Acronis en el momento del anuncio. “Un archivo adjunto aparentemente inofensivo de DocuSign en realidad contiene macros maliciosas que roban información”.
SentinelOne también señaló que a principios de este año, Meta se dirigió específicamente a los usuarios de macOS. Según los datos, los clientes de MaaS fueron diseñados socialmente para instalar meta-ladrones haciéndose pasar por clientes corporativos potenciales que utilizan Mac.
La cantidad de ladrones de información en el mercado significa que es poco probable que la destrucción de Redline y Meta tenga un impacto significativo en el panorama del cibercrimen.
Al igual que en el ecosistema de ransomware, siempre hay reemplazos listos y esperando para hacerse cargo de su negocio, incluso si otros caen.
Pero si las autoridades pueden arrestar a miembros clave del equipo detrás de Red Line y los ladrones de metanfetamina, la Operación Magnus podría verse como una victoria sustancial para las fuerzas del orden. ®
https://packetstormsecurity.com/news/view/36526/Dutch-Cops-Pwn-The-Redline-And-Meta-Infostealers-Leak-VIP-Aliases.html
