Правоохранительные органы отчитались о проведении международной операции Magnus, связанной с разрушением инфраструктуры инфостилеров RedLine и Meta. По данным Евроюста, эти стилеры представляли собой одну из крупнейших вредоносных платформ и атаковали миллионы пользователей по всему миру с целью кражи персональных данных. Похищенная у жертв информация (включая учетные данные, данные криптовалютных кошельков, файлы cookie, адреса электронной почты, номера телефонов и так далее) затем перепродавалась другим киберпреступникам, которые использовали данные для кражи денег, криптоактивов и других атак. Напомним, что RedLine был написан на .NET и по крайней мере с 2020 года работал по схеме malware-as-a-service («малварь-как-услуга»). Малварь распространяли более 20 русскоязычных хак-групп на андеграундных форумах и в Telegram-каналах. В свою очередь стилер Meta (он же MetaStealer) был впервые замечен в начале 2022 года и представлял собой улучшенную версию RedLine. В основном RedLine и Meta распространялись с помощью фишинговых писем, вредоносной рекламы, а также маскировались под известный софт и использовали sideloading. По информации специалистов Recorded Future, только в 2024 году RedLine и Meta похитили в общей сложности 227 млн учетных данных (уникальные пары email и пароль). Как теперь сообщила голландская полиция, в рамках международной операции Magnus правоохранителям удалось взломать серверы стилеров и захватить их инфраструктуру. За этой операцией стоят Европол, Евроюст, а также правоохранительные органы Нидерландов, США, Великобритании, Бельгии, Португалии и Австралии при дополнительной поддержке ИБ-экспертов компании ESET. Сообщается, что власти уже отключили три сервера, используемые RedLine и Meta, захватили два домена, а также арестовали двух человек. По словам правоохранителей, следователи собрали информацию более чем о 1200 серверах, используемых вредоносами, получили базу данных клиентов стилеров, а после захвата инфраструктуры отправили преступникам сообщения и видео. Более того, власти заявили, что получили доступ к исходному коду, включая серверы лицензий, сервисы REST API, бинарники стилеров, а также доступ к Telegram-аккаунтам обоих вредоносов. Также сообщается, что голландская полиция уже связывается с киберпреступниками, чтобы уведомить их о том, что они более не анонимны и за ними следят. К примеру, соответствующее послание было размещено на хак-форуме XSS. Также ИБ-исследователи делятся скриншотами личных сообщений, которые полиция Нидерландов отправляет киберпреступникам. «Правоохранительные органы скомпрометировали инфраструктуру Redline и Meta, включая всю базу данных пользователей. Данные вашего клиента являются частью этой БД. Мы проверяем эти данные в рамках совместного международного расследования», — гласит сообщение. Отметим, что правоохранители поступают так не впервые. К примеру, после атаки на инфраструктуру ботнета Emotet в 2021 году полиция Нидерландов публиковала предупреждения на популярных русскоязычных и англоязычных хак-форумах, сообщая, что «размещение криминальной инфраструктуры в Нидерландах — безнадежное дело». А в 2023 году, правоохранители рассылали электронные и бумажные письма бывшим пользователям закрытого хакерского ресурса RaidForums. Тогда полиция просила экс-участников форума удалить ворованные данные и прекратить киберпреступную деятельность, предупреждая, что сохранять анонимность им уже поздно. Также сегодня стало известно, что американские правоохранители выдвинули обвинения против гражданина России Максима Рудометова. Его считают разработчиком RedLine, который якобы управлял инфраструктурой малвари. Считается, что на криптовалютные счета Рудометова поступали платежи, связанные с вредоносным ПО и отмыванием денег. Рудометову предъявлены обвинения в мошенничестве с использованием устройств доступа, сговоре с целью совершения компьютерного взлома и отмывании денег. По этим обвинениям ему грозит до 35 лет лишения свободы, однако пока неясно, арестован ли Рудометов, или обвинения предъявлены заочно. Уже упомянутая выше компания ESET, принимавшая участие в расследовании и самой операции, выпустила бесплатный инструмент, который поможет потенциальным жертвам RedLine и Meta проверить, не были ли похищены их данные.