La Police nationale néerlandaise a saisi l’infrastructure réseau des opérations de logiciels malveillants Redline et Meta infostealer dans le cadre de « l’Opération Magnus », avertissant les cybercriminels que leurs données sont désormais entre les mains des forces de l’ordre.
L’opération Magnus a été annoncée sur un site Web dédié qui a révélé la perturbation des opérations Redline et Meta, indiquant que des actions en justice basées sur les données saisies sont actuellement en cours.
« Le 28 octobre 2024, la Police nationale néerlandaise, travaillant en étroite coopération avec le FBI et d’autres partenaires de l’Opération Magnus du groupe de travail international sur l’application de la loi, a perturbé le fonctionnement des distributeurs d’informations Redline et Meta », peut-on lire dans une courte annonce sur le site de l’Opération Magnus.
« Les parties impliquées seront informées et des actions en justice sont en cours. »
Redline et Meta sont tous deux des infostealers, un type de malware qui vole les informations stockées dans les navigateurs sur un appareil infecté, y compris les informations d’identification, les cookies d’authentification, l’historique de navigation, les documents sensibles, les clés SSH et les portefeuilles de crypto-monnaie.
Ces données sont ensuite vendues par des acteurs de la menace ou utilisées pour alimenter des violations massives du réseau, entraînant des vols de données, des attaques par ransomware et du cyberespionnage.
Politie dit qu’ils ont pu perturber l’opération avec l’aide de partenaires internationaux chargés de l’application de la loi, notamment le FBI, le NCIS, le département américain de la Justice, Eurojust, la NCA et les forces de police au Portugal et en Belgique.
Les agences ont publié la vidéo suivante, annonçant la « mise à jour finale » pour les utilisateurs de Redline et Meta, avertissant qu’ils ont désormais leurs informations d’identification de compte, leurs adresses IP, leurs horodatages d’activité, leurs détails d’inscription, etc.
Cela montre clairement que les enquêteurs détiennent des preuves qui peuvent être utilisées pour retrouver les cybercriminels qui ont utilisé le logiciel malveillant, de sorte que des arrestations et des poursuites seront probablement annoncées à l’avenir.
De plus, les autorités ont affirmé avoir eu accès au code source, y compris les serveurs de licences, les services REST-API, les panneaux, les binaires de voleur et les robots Telegram, pour les deux logiciels malveillants.
Comme ils l’ont déclaré dans la vidéo, Meta et Redline partageaient la même infrastructure, il est donc probable que les mêmes créateurs/opérateurs soient derrière les deux projets.
Le chercheur en logiciels malveillants g0njxa a déclaré à Breachtrace que Redline et Meta avaient été vendus via des robots sur Telegram, qui ont maintenant été supprimés.
« Ces services sont soutenus par un écosystème criminel comprenant une gamme d’outils, d’infrastructures, de services financiers, de places de marché et de forums », a déclaré à Breachtrace le directeur adjoint Paul Foster, chef de l’Unité nationale de lutte contre la cybercriminalité de la NCA.
« Une collaboration internationale comme celle-ci est essentielle pour identifier et éliminer les divers éléments de cet écosystème et, en fin de compte, rendre plus difficile le fonctionnement des cybercriminels. »
“Dans le cadre de notre soutien continu à l’opération Magnus, la NCA analysera toutes les données pertinentes obtenues dans le cadre de cette perturbation et explorera d’autres opportunités de dégrader cette menace.” »
De plus amples informations sur l’opération, les infrastructures saisies et les arrestations potentielles devraient être publiées demain.
La police met en garde les pirates
La police néerlandaise contacte depuis longtemps les cybercriminels après avoir mené une opération d’application de la loi pour les avertir qu’ils ne sont pas anonymes et qu’ils sont surveillés.
Après l’interruption du botnet Emotet, la police néerlandaise a créé des comptes de forum sur des forums de pirates informatiques pour avertir les cybercriminels qu’ils étaient étroitement surveillés.
Après la saisie du forum RaidForums en 2022, la police néerlandaise a envoyé des courriels et des lettres et a effectué des appels « stop » en personne aux mineurs qui étaient membres de RaidForums pour les avertir que leurs actions étaient illégales.
Breachtrace a appris que la police néerlandaise utilisait les mêmes tactiques dans le cadre de l’Opération Magnus, créant des comptes de forum et envoyant des messages directs avertissant les acteurs de la menace qu’ils sont surveillés de près.
« Ceci est un avis officiel des forces de l’ordre. Plus tôt cette année, nous avons pris le contrôle de l’infrastructure de Redline et de Meta infostealer et de leurs données clients. »lit un article sur le forum russophone de piratage XSS.
Cette opération est menée en collaboration avec des organismes internationaux chargés de l’application de la loi. Les parties impliquées seront informées et des actions en justice sont en cours. Pour plus de détails (ou mandats d’arrêt), visitez: https://www.operation-magnus.com. »
Le chercheur en renseignements sur les menaces eSentire Russian Panda a également partagé une capture d’écran de messages directs envoyés par la police néerlandaise aux cybercriminels, les avertissant de l’action.
« Les forces de l’ordre ont compromis l’infrastructure Redline et Meta, y compris l’ensemble de la base de données des utilisateurs », peut-on lire dans le message envoyé à un cybercriminel présumé.
« Vos données client font partie de cet ensemble de données. Nous examinons ces données dans le cadre d’une enquête en cours coordonnée à l’échelle internationale. »
Un fléau de la cybersécurité
Au cours des deux dernières années, les logiciels malveillants de vol d’informations sont devenus un énorme problème pour l’entreprise, car les informations d’identification volées sont généralement vendues sur le Dark Web ou publiées gratuitement pour se faire une réputation dans la communauté des pirates.
Les campagnes malveillantes impliquant des logiciels malveillants volant des informations sont devenues abondantes, les acteurs de la menace ciblant les victimes via des vulnérabilités zero-day, de faux VPN, de faux correctifs pour les problèmes GitHub et même des réponses sur StackOverflow.
L’un des outils d’information les plus couramment utilisés dans les attaques est Redline, qui a été lancé en 2020 et a depuis provoqué un vol généralisé des mots de passe des victimes, des cookies d’authentification, des portefeuilles de crypto-monnaie et d’autres données sensibles.
Meta, alias MetaStealer, est un nouveau projet de malware Windows infostealer annoncé en 2022, commercialisé comme une version améliorée de Redline. De l’annonce de l’Opération Magnus, nous apprenons maintenant que Meta a probablement été créé par les mêmes développeurs que Redline.
Il convient de noter que la méta-opération perturbée est différente de celle du malware Métastaler ciblant les appareils macOS.
Dmitry Emilyanets, directeur de la gestion des produits chez Recorded Future, a partagé sur X que Redline et MetaStealer avaient volé un total combiné de 227 millions d’informations d’identification (paire unique d’e-mails et de mots de passe) en 2024.
Les futures métriques enregistrées de collecte de renseignements sur l’identité brossent un tableau désastreux de l’ensemble de l’activité, indiquant que le logiciel malveillant Redline a volé près d’un milliard d’informations d’identification depuis son lancement.
Un rapport conjoint de Specops et Kraken Labs a également partagé que les acteurs de la menace ont utilisé Redline pour voler plus de 170 millions de mots de passe en seulement six mois.
Ces informations d’identification volées sont ensuite utilisées ou vendues à d’autres acteurs de la menace pour violer les réseaux d’entreprise dans le cadre de cyberattaques.
Les informations d’identification volées ont été utilisées pour alimenter certaines des violations les plus importantes de l’histoire récente, notamment les attaques de vol de données à grande échelle Snowflake et l’attaque par ransomware Change Healthcare, qui ont provoqué des perturbations massives dans le système de santé américain.