Operación de los Infostealers Redline y Meta incautados por la policía

Iniciado por AXCESS, Octubre 30, 2024, 04:37:26 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La Policía Nacional Holandesa incautó la infraestructura de la red para las operaciones de malware de Redline y de Meta Infostealer en una "Operación Magnus", advirtiendo a los ciberdelincuentes que sus datos ahora están en manos de la policía.

La Operación Magnus se anunció en un sitio web dedicado que reveló la interrupción de las operaciones de los Infostealer Redline y Meta, indicando que las acciones legales basadas en los datos incautados están actualmente en curso.

"El 28 de octubre de 2024, la Policía Nacional Holandesa, que trabaja en estrecha cooperación con el FBI y otros socios de la Operación de la Fuerza de Tarea de la Aplicación de la Ley de la Ley, interrumpieron las operaciones de los Infostealers Redline y Meta", sitio Operación Magnus.

"Se notificarán a las partes involucradas, y las acciones legales están en marcha".

Redline y Meta ambos malware sofisticados ladrones de datos (infostealer), un tipo de malware que roba información almacenada en navegadores en un dispositivo infectado, incluidas credenciales, cookies de autenticación, historial de navegación, documentos confidenciales, claves SSH y billeteras de criptomonedas.

Estos datos son vendidos por actores de amenaza o utilizados para impulsar infracciones masivas en la red, lo que lleva a robo de datos, ataques de ransomware y ciberespionaje.

Politie dice que pudieron interrumpir la operación con la ayuda de socios internacionales de aplicación de la ley, incluidos el FBI, el NCIS, el Departamento de Justicia de los Estados Unidos, Eurojust, la NCA y las fuerzas policiales en Portugal y Bélgica.

Las agencias publicaron el siguiente video, anunciando la "actualización final" para los usuarios de Redline y Meta, advirtiendo que ahora tienen sus credenciales de cuenta, direcciones IP, marcas de tiempo de actividad, detalles de registro y más.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Esto deja en claro que los investigadores tienen evidencia que se puede utilizar para rastrear los ciberdelincuentes que usaron el malware, por lo que es probable que se anuncien arrestos y enjuiciamientos en el futuro.

Además, las autoridades afirmaron que obtuvieron acceso al código fuente, incluidos los servidores de licencias, los servicios REST-API, los paneles, los binarios del stealer y los bots de telegram, para ambos malware.

Como dijeron en el video, tanto Meta como Redline compartieron la misma infraestructura, por lo que es probable que los mismos creadores/operadores estén detrás de ambos proyectos.

El investigador de malware G0NJXA le dijo a BleepingComputer que tanto Redline como Meta se vendieron a través de bots en Telegram, que ahora se han eliminado.

"Estos servicios están respaldados por un ecosistema criminal que comprende una variedad de herramientas, infraestructura, servicios financieros, mercados y foros", dijo el subdirector Paul Foster, jefe de la Unidad Nacional de Crimen Cibernético de la NCA a BleepingComuter.

"La colaboración internacional como esta es clave para identificar y eliminar los diversos elementos de este ecosistema y, en última instancia, dificultar que los ciberdelincuentes operen".

"Como parte de nuestro continuo apoyo a la Operación Magnus, la NCA analizará todos los datos relevantes obtenidos como parte de esta interrupción y alcance más oportunidades para degradar esta amenaza".

Mañana se programa más información sobre la operación, la infraestructura incautada y los posibles arrestos.

La policía advierte a los piratas informáticos

La policía holandesa tiene una larga historia de contactar a los ciberdelincuentes después de realizar una operación de aplicación de la ley para advertirles que no son anónimos y están siendo observados.

Después de la interrupción del bonet Emotet, la policía holandesa creó cuentas en los foros de los piratas informáticos para advertir a los cibercriminales que estaban siendo monitoreados de cerca.

Después de que el foro Raidforums fue incautado en 2022, la policía holandesa envió correos electrónicos y cartas y realizó llamadas en persona para "detener" a menores que eran miembros de Raidforums, y para advertirles que sus acciones eran ilegales.

BleepingComputer se enteró de que la policía holandesa está utilizando las mismas tácticas que parte de la Operación Magnus, creando cuentas de foro y enviando mensajes directos que advierten a los actores de amenaza que están siendo observados de cerca.

"Este es un aviso oficial de la aplicación de la ley. A principios de este año, hemos tomado el control de la infraestructura de Redline y Meta Infortealer y los datos de sus clientes". Foro de piratería XSS de habla rusa.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Esta operación se lleva a cabo en colaboración con las agencias de aplicación de la ley internacional. Se notificarán las partes involucradas y se están realizando acciones legales. Para más detalles (o garantías de arresto) Visite: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta".

El investigador de inteligencia de amenazas de Esentire, el panda ruso también compartió una captura de pantalla de mensajes directos enviados por la policía holandesa a los cibercriminales, advirtiéndoles sobre la acción.

"La aplicación de la ley ha comprometido la línea roja y la meta infraestructura, incluida toda la base de datos de usuarios", dice el mensaje enviado a un presunto cibercriminal.

"Los datos de su cliente son parte de este conjunto de datos. Estamos revisando estos datos como parte de una investigación en curso internacionalmente coordinada".

Un flagelo de ciberseguridad

En los últimos años, el malware de robo de información se ha convertido en un problema masivo para empresas, ya que las credenciales robadas se venden comúnmente en la dark web o liberadas de forma gratuita para ganarse una reputación en la comunidad de piratería.

Las campañas maliciosas que involucran malware de robo de información se han vuelto abundantes, con actores de amenaza dirigidos a víctimas a través de vulnerabilidades de día cero, VPN falsas, soluciones falsas a problemas de GitHub e incluso respuestas en Stackoverflow.

Uno de los infostealer más comunes utilizados en los ataques es Redline, que se lanzó en 2020 y desde entonces ha causado un robo generalizado de contraseñas, las cookies de autenticación, las billeteras de criptomonedas y otros datos confidenciales.

Meta, también conocido como MetaStealer, es un nuevo proyecto de malware de Windows InfostEaler anunciado en 2022, comercializado como una versión mejorada de Redline. Desde el anuncio de la Operación Magnus, ahora nos enteramos de que Meta probablemente fue creado por los mismos desarrolladores que Redline.

Cabe señalar que la operación Meta interrumpida es diferente al malware MetaSteealer dirigido a dispositivos MacOS.

Dmitry Emilyanets, directora de gestión de productos en el Futuro Grabado, compartió en X que Redline y MetaStealer robaron un total combinado de 227 millones de credenciales (par único de correo electrónico y contraseña) en 2024.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las métricas de colección de Inteligencia de Identidad Futura Registrada pintan una imagen grave de toda la actividad, lo que indica que el malware Redline ha robado casi mil millones de credenciales desde que se lanzó por primera vez.

Un informe conjunto de Specops y KrakenLabs también compartió que los actores de amenaza han usado Redline para robar más de 170 millones de contraseñas en solo seis meses.

Estas credenciales robadas se usan o venden a otros actores de amenaza para violar las redes corporativas como parte de los ataques cibernéticos.

Las credenciales robadas se han utilizado para impulsar algunas de las violaciones más significativas en la historia reciente, incluidos los ataques de robo de datos de Snowflake a gran escala y el ataque de ransomware Al Change Healthcare, lo que causó una interrupción masiva al sistema de salud de los Estados Unidos.

Esta es una historia en desarrollo.

Fuente
:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta