Nederlandse politie ontregelt grote informatiestelers RedLine en MetaStealer tijdens Operatie Magnus

De Nederlandse Nationale Politie heeft samen met internationale partners de verstoring aangekondigd van de infrastructuur die twee informatiestelers aandrijft, genaamd RedLine en MetaStealer.

De verwijdering, die plaatsvond op 28 oktober 2024, is het resultaat van een internationale wetshandhavingstaskforce met de codenaam Operatie Magnus, waarbij autoriteiten uit de VS, Groot-Brittannië, België, Portugal en Australië betrokken waren.

Eurojust zegt in een vandaag gepubliceerde verklaring dat de operatie heeft geleid tot de sluiting van drie servers in Nederland en de inbeslagname van twee domeinen. In totaal zijn naar schatting meer dan 1.200 servers in tientallen landen gebruikt om de malware uit te voeren.

Als onderdeel van de inspanningen is één beheerder aangeklaagd door de Amerikaanse autoriteiten en zijn twee mensen gearresteerd door de Belgische politie, aldus de politie. Eén van hen is inmiddels vrijgelaten, terwijl de ander nog steeds in hechtenis zit.

Het Amerikaanse ministerie van Justitie (DoJ) heeft Maxim Rudometov, een van de ontwikkelaars en beheerders van RedLine Stealer, aangeklaagd voor fraude met toegangsapparaten, samenzwering om computerinbraak te plegen en het witwassen van geld. Als hij wordt veroordeeld, riskeert hij een maximale gevangenisstraf van 35 jaar.

“Rudometov had regelmatig toegang tot en beheerde de infrastructuur van RedLine Infostealer, was geassocieerd met verschillende cryptocurrency-accounts die werden gebruikt om betalingen te ontvangen en wit te wassen en was in het bezit van RedLine-malware”, aldus het DoJ.

Het onderzoek naar de technische infrastructuur van de informatiestelers begon een jaar geleden naar aanleiding van een tip van cybersecuritybedrijf ESET dat de servers in Nederland staan.

Onder de in beslag genomen gegevens bevonden zich onder meer gebruikersnamen, wachtwoorden, IP-adressen, tijdstempels, registratiedatums en de broncode van beide stealer-malware. Tegelijkertijd zijn verschillende Telegram-accounts die verband houden met de stealer-malware offline gehaald. Verder onderzoek naar hun klanten is gaande.

“Via deze groepen werden de infostealers RedLine en MetaStealer aan klanten aangeboden”, aldus Nederlandse wetshandhavers. “Tot voor kort was Telegram een ​​dienst waar criminelen zich onaantastbaar en anoniem voelden. Deze actie heeft aangetoond dat dit niet langer het geval is.”

Het is vermeldenswaard dat het MetaStealer-doelwit als onderdeel van Operatie Magnus anders is dan de MetaStealer-malware waarvan bekend is dat deze zich op macOS-apparaten richt.

Informatiestelers zoals RedLine en MetaStealer zijn cruciale radertjes in het cybercriminaliteitswiel, waardoor bedreigingsactoren inloggegevens en andere gevoelige informatie kunnen overhevelen die vervolgens aan andere bedreigingsactoren kunnen worden verkocht voor vervolgaanvallen zoals ransomware.

Stealers worden doorgaans verspreid onder een Malware-as-a-Service (MaaS)-model, wat betekent dat de kernontwikkelaars toegang tot de tools verhuren aan andere cybercriminelen, hetzij op abonnementsbasis, hetzij voor een levenslange licentie.

Thijs Van der Does