A Polícia Nacional Holandesa apreendeu a infraestrutura de rede das operações de malware infostealer Redline e Meta na "Operação Magnus", alertando os criminosos cibernéticos de que seus dados agora estão nas mãos das autoridades.
A Operação Magnus foi anunciada em um website dedicado que divulgou a desativação das operações Redline e Meta, declarando que ações legais baseadas nos dados apreendidos estão em andamento.
"No dia 28 de outubro de 2024, a Polícia Nacional Holandesa, trabalhando em estreita cooperação com o FBI e outros parceiros da força-tarefa internacional de aplicação da lei Operação Magnus, interrompeu a operação dos infostealers Redline e Meta", diz um breve anúncio no site da Operação Magnus.
Partes envolvidas serão notificadas, e ações legais estão em andamento.
Redline e Meta são ambos infostealers, um tipo de malware que rouba informações armazenadas de navegadores em um dispositivo infectado, incluindo credenciais, cookies de autenticação, histórico de navegação, documentos sensíveis, chaves SSH e carteiras de criptomoedas.
Esses dados são então vendidos por atores de ameaças ou usados para alimentar grandes violações de rede, levando a roubo de dados, ataques de ransomware e ciberespionagem.
A Politie afirma que conseguiu interromper a operação com a ajuda de parceiros internacionais de aplicação da lei, incluindo o FBI, o NCIS, o Departamento de Justiça dos EUA, a Eurojust, a NCA e as forças policiais de Portugal e da Bélgica.
As agências publicaram o seguinte vídeo, anunciando a "atualização final" para os usuários de Redline e Meta, avisando que agora possuem suas credenciais de conta, endereços IP, carimbos de data/hora de atividade, detalhes de registro e mais.
Isso deixa claro que os investigadores possuem evidências que podem ser usadas para rastrear os criminosos cibernéticos que usaram o malware, portanto, é provável que prisões e processos sejam anunciados no futuro.
Além disso, as autoridades afirmaram que obtiveram acesso ao código fonte, incluindo servidores de licença, serviços REST-API, painéis, binários do stealer e bots do Telegram, para ambos os malware.
Como afirmaram no vídeo, tanto o Meta quanto o Redline compartilhavam a mesma infraestrutura, então é provável que os mesmos criadores/operadores estejam por trás de ambos os projetos.
O pesquisador de malware g0njxa disse que tanto Redline quanto Meta eram vendidos por meio de bots no Telegram, que agora foram deletados.
"Esses serviços são sustentados por um ecossistema criminal que compreende uma gama de ferramentas, infraestruturas, serviços financeiros, marketplaces e fóruns", disse o Diretor Adjunto Paul Foster, chefe da Unidade Nacional de Crime Cibernético da NCA.
A colaboração internacional como esta é fundamental para identificar e desmantelar os vários elementos desse ecossistema e, em última análise, dificultar a operação dos criminosos cibernéticos.
Como parte do nosso apoio contínuo à Operação Magnus, a NCA analisará todos os dados relevantes obtidos como parte desta interrupção e explorará outras oportunidades para degradar essa ameaça.
Mais informações sobre a operação, infraestrutura apreendida e possíveis prisões serão divulgadas amanhã.
A polícia holandesa tem um longo histórico de contato com criminosos cibernéticos após conduzir uma operação de aplicação da lei para avisá-los de que não são anônimos e estão sendo vigiados.
Após a interrupção do botnet Emotet, a polícia holandesa criou contas em fóruns de hackers para avisar os criminosos cibernéticos de que estavam sendo monitorados de perto.
Após o fórum RaidForums ser apreendido em 2022, a Polícia Holandesa enviou e-mails e cartas e conduziu visitas de "parada" a menores que eram membros do RaidForums para avisá-los de que suas ações eram ilegais.
"Este é um aviso oficial da aplicação da lei. No início deste ano, assumimos o controle da infraestrutura infostealer Redline e Meta e seus dados de cliente." lê-se em uma postagem no fórum de hackers em língua russa XSS.Esta operação está sendo conduzida em colaboração com agências internacionais de aplicação da lei.As partes envolvidas serão notificadas, e ações legais estão em andamento.
Para detalhes (ou mandados de prisão) visite: https://www.operation-magnus.com."
O pesquisador de inteligência de ameaças da eSentire, Russian Panda, também compartilhou uma captura de tela de mensagens diretas enviadas pela Polícia Holandesa a criminosos cibernéticos, avisando-os da ação.
"A aplicação da lei comprometeu a infraestrutura de Redline e Meta incluindo todo o banco de dados de usuários", lê-se na mensagem enviada a um suspeito criminoso cibernético.
Seus dados de cliente fazem parte deste conjunto de dados.
Estamos revisando esses dados como parte de uma investigação coordenada internacionalmente em andamento.
Nos últimos anos, o malware de roubo de informações tornou-se um grande problema para as empresas, já que as credenciais roubadas são comumente vendidas na dark web ou liberadas gratuitamente para ganhar reputação na comunidade hacker.
Campanhas maliciosas envolvendo malware de roubo de informações tornaram-se abundantes, com atores de ameaças visando vítimas através de vulnerabilidades zero-day, VPNs falsas, correções falsas para problemas no GitHub e até respostas no StackOverflow.
Um dos infostealers mais comuns usados em ataques é o Redline, que foi lançado em 2020 e desde então causou roubo generalizado de senhas das vítimas, cookies de autenticação, carteiras de criptomoedas e outros dados sensíveis.
Meta, também conhecido como MetaStealer, é um projeto de malware infostealer para Windows mais novo, anunciado em 2022, comercializado como uma versão aprimorada do Redline.
Pelo anúncio da Operação Magnus, agora sabemos que o Meta foi provavelmente criado pelos mesmos desenvolvedores do Redline.
Vale ressaltar que a operação Meta interrompida é diferente do malware MetaStealer que visa dispositivos macOS.
Dmitry Emilyanets, Diretor de Gerenciamento de Produtos da Recorded Future, compartilhou no X que Redline e MetaStealer roubaram um total combinado de 227 milhões de credenciais (par único de email e senha) em 2024.
Os indicadores de coleta de identidade da Recorded Future pintam um quadro preocupante de toda a atividade, indicando que o malware Redline roubou quase um bilhão de credenciais desde seu lançamento.
Um relatório conjunto da Specops e KrakenLabs também compartilhou que atores de ameaças usaram o Redline para roubar mais de 170 milhões de senhas em apenas seis meses.
Essas credenciais roubadas são então usadas ou vendidas a outros atores de ameaças para violar redes corporativas como parte de ciberataques.
As credenciais roubadas foram usadas para alimentar algumas das violações mais significativas da história recente, incluindo os ataques de roubo de dados em larga escala da Snowflake e o ataque de ransomware à Change Healthcare, que causou uma grande disrupção ao sistema de saúde dos EUA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...