世界的な法執行機関の作戦により、サイバー犯罪グループが機密性の高い個人データを盗むために広く使用しているマルウェアツールであるRedlineおよびMetaインフォスティーラーのインフラが妨害された。
「オペレーション・マグナス」は10月28日に実施され、法執行機関はオランダでマルウェアの稼働に使用されていた3台のサーバーを停止し、2つのドメインを押収した。
これにより、当該マルウェアはもはや機能せず、現時点では感染した被害者から新たなデータを盗むために使用できない。
当局はまた、RedlineとMetaの数千人のクライアントに関するデータベースを回収しており、これらの犯罪関係者に対する捜査を継続する。
インフォスティーラーの管理者とされる人物1名が米国で起訴され、疑わしい顧客2名がベルギーで身柄を拘束された。これらの疑わしい顧客のうち1名はその後釈放されている。
米テキサス州西部地区連邦検事局は、管理者とされる人物の身元がマキシム・ルドメトフ(Maxim Rudometov)であることを確認した。ルドメトフは、Redline Infostealerのインフラに定期的にアクセスして管理していたこと、支払いの受領および資金洗浄に用いられた複数の暗号資産アカウントに関与していたこと、そしてRedlineマルウェアを所持していたことが疑われている。
彼は、アクセスデバイス詐欺、コンピュータ侵入の共謀、資金洗浄の罪で起訴されており、これらの犯罪にはそれぞれ最長で懲役10年、5年、20年の刑が科され得る。
さらに、インフォスティーラーの配布に使用されていた複数のTelegramアカウントも削除された。
この作戦は、サイバーセキュリティ企業ESETから、マルウェアに関連するオランダのサーバーについて提供された情報がきっかけとなった。これにより1年以上前に捜査が開始され、インフォスティーラーの技術的インフラ、使用されていた通信チャネル、そしてユーザーベース全体に関する知見が得られた。
捜査の過程で当局は、数十か国にある1200台以上のサーバーでこのマルウェアが稼働していたことを突き止めた。
摘発後、オランダ国家警察は、専用の「オペレーション・クロノス」のウェブサイトを通じて、インフォスティーラーの背後にいる関係者にメッセージを発信した。これには、国際的な当局連合が彼らのネットワークに関する重要なデータを入手できたこと、そして彼らの犯罪活動を停止させることができることを示す動画が含まれていた。
メッセージ送信後、ベルギー当局はRedlineおよびMetaの複数の通信チャネルを閉鎖した。
ウェブサイトwww.operation-magnus.comは、執筆時点ではオフラインのようだ。
オペレーション・マグナスには、オランダ、米国、ベルギー、ポルトガル、英国、オーストラリアの法執行機関が参加し、欧州連合の刑事司法協力機関(Eurojust)が調整を担った。
RedlineとMetaは数百万人の被害者に関与
RedlineとMetaはインフォスティーラーであり、被害者のデバイスから個人データを盗むよう設計されている。これには、ユーザー名やパスワード、住所、メールアドレス、電話番号、暗号資産ウォレット、Cookieなど、自動保存されたフォームデータが含まれる。
この情報を取得した後、インフォスティーラーの運用者は犯罪マーケットプレイスを通じて、他のサイバー犯罪者にデータを販売する。購入者はそのデータを、なりすまし(身元盗用)、金融詐欺、ランサムウェア攻撃などの後続活動に利用する。
オランダ警察は、RedlineとMetaは世界で最もよく知られたインフォスティーラーの一つで、長年にわたり活動し、数百万人の被害者を生み出してきたと指摘した。
Eurojustは、民間のセキュリティ企業が、人々が自分のデータが盗まれたかどうかを確認できるオンラインツールを公開したと述べ、詳細はオペレーション・クロノスのウェブサイトで確認できるとしている。
2024年6月には、英国の国家犯罪対策庁(NCA)が主導する法執行機関の作戦により、Cobalt Strikeツールのホスティングに使用されていたインフラが摘発された。
この記事はGMT 16:20に更新されました
翻訳元: https://www.infosecurity-magazine.com/news/law-enforcement-redline-meta/
