Операция «Магнус»: совместная операция правоохранительных органов направлена ​​на борьбу с крупными сетями похитителей информации

В ходе масштабных международных усилий Министерство юстиции США, Федеральное бюро расследований и многочисленные правоохранительные органы мира раскрыли «Операцию Магнус», направленную против двух самых известных в мире сетей вредоносного ПО, крадущих информацию: RedLine Stealer и META.

Согласно пресс-релизу, опубликованному 29 октября, операция привела к захвату нескольких серверов, предъявлению обвинений разработчику RedLine Stealer и аресту двух подозреваемых в Бельгии.

Похитители информации RedLine и META

RedLine Stealer и META — это два различных типа вредоносного ПО, известных как «похитители информации» или «инфостилеры», предназначенные для захвата конфиденциальных пользовательских данных. О существовании RedLine Stealer впервые сообщили в 2020 году, тогда как META впервые появился в 2022 году.

В интервью представитель вредоносного ПО META рассказал, что изначально его разработка опиралась на части исходного кода RedLine Stealer, которые были приобретены через продажу. Оба вредоносных ПО способны красть конфиденциальную информацию с зараженных компьютеров, такую ​​как:

Имена пользователей и пароли для онлайн-сервисов, включая ящики электронной почты. Финансовая информация, такая как номера кредитных карт или банковских счетов. Сеансовые файлы cookie для имитации пользователей в онлайн-сервисах. Криптовалютные кошельки.

СМ.: Как создать эффективную программу повышения осведомленности о кибербезопасности (TechRepublic Premium)

Оба вредоносных ПО также предоставляют возможность обойти многофакторную аутентификацию. Украденная информация может использоваться контроллером вредоносного ПО, но также может продаваться в виде файлов, называемых «логами», на подпольных форумах или торговых площадках киберпреступников.

RedLine Stealer и META заразили миллионы компьютеров по всему миру — и украли еще больше учетных данных. Компания Specops Software, занимающаяся безопасностью паролей, сообщила, что RedLine Stealer захватил более 170 миллионов паролей всего за шесть месяцев, в то время как META украл 38 миллионов паролей за тот же период.

Согласно пресс-релизу Министерства юстиции США, RedLine Stealer также использовался для осуществления вторжений в крупные корпорации.

Бизнес-модель «Вредоносное ПО как услуга» (MaaS)

Оба семейства вредоносных программ продаются через бизнес-модель «вредоносное ПО как услуга», когда киберпреступники покупают лицензию на использование вариантов вредоносного ПО, а затем запускают собственные кампании по заражению. Это можно сделать с помощью заражения электронных писем, вредоносной рекламы, мошеннических загрузок программного обеспечения, сторонних загрузок вредоносного ПО и обмена мгновенными сообщениями. Различные киберпреступники использовали различные приманки и уловки социальной инженерии для заражения жертв, включая поддельные обновления Windows.

Несколько серверов, каналов связи отключены

Ордер, выданный Западным округом Техаса, уполномочил правоохранительные органы арестовать два домена управления, используемых RedLine Stealer и META.

На обоих доменах теперь отображается контент об операции.

В Нидерландах были отключены три сервера, а несколько каналов связи RedLine Stealer и META были закрыты бельгийскими властями.

Кроме того, веб-сайт об операции «Магнус» информирует и поддерживает жертв. Видео, показанное на веб-сайте, посылает сильное сообщение киберпреступникам, которые использовали RedLine или META, раскрывая список псевдонимов, которые, как говорят, являются VIP-персонами — «Очень важны для полиции» — и заканчивается изображением наручников и сообщением: «Мы с нетерпением ждем встречи с вами в ближайшее время!»

На сайте также представлен онлайн-сканер заражений RedLine/META от компании ESET, занимающейся кибербезопасностью.

Министерство юстиции США также выдвинуло обвинения против Максима Рудометова, одного из разработчиков и администраторов вредоносного ПО RedLine Stealer, который регулярно получал доступ к инфраструктуре и управлял ею. Рудометов также связан с различными криптовалютными кошельками, используемыми для получения и отмывания платежей от клиентов RedLine.

В Бельгии были также взяты под стражу еще два человека, хотя один из них был освобожден без предоставления общественности дополнительных подробностей.

Как защититься от похитителей информации

Похитители информации могут заражать компьютеры множеством способов, поэтому все системы и программное обеспечение должны быть обновлены и исправлены, чтобы предотвратить заражение, которое может использовать распространенную уязвимость.

Кроме того, компании могут защитить себя от киберпреступников следующими способами:

Внедрение программного обеспечения безопасности и антивируса на всех системах. Развертывание многофакторной аутентификации также добавляет защитный уровень безопасности для служб, требующих аутентификации. Изменение всех паролей, если система скомпрометирована. Это необходимо сделать сразу после удаления вор-пароля из системы.

Кроме того, пользователи никогда не должны использовать один и тот же пароль для разных сервисов. Использование менеджеров паролей является очень эффективным для использования одного сложного пароля для каждого сервиса или инструмента и должно быть обязательным в организациях.

Раскрытие информации: я работаю в компании Trend Micro, но мнения, высказанные в этой статье, принадлежат мне.