Este martes, el Departamento de Justicia de los Estados Unidos (DOJ, «por sus siglas en inglés»), informó en un comunicado, que se había unido a una ofensiva internacional contra dos malwares que operaban de forma descentralizada como Malware como Servicio (MaaS), tipo infostealers, denominados Redline y META, que estaban siendo utilizados para robar criptomonedas y datos bancarios.
De mismo modo, la Agencia de la Unión Europea para la Cooperación en Materia de Justicia Penal (EUROJUST, «por sus siglas en inglés»), también en un comunicado informó, que se desmantelaron los servidores de los ciberpiratas que proveían para terceros los malwares RedLine y META, que utilizaban para robar datos personales y llevar a cabo delitos cibernéticos en todo el mundo.
Según ambas agencias, estos infostealers atacaban a millones de víctimas a nivel mundial, lo que la convertía en una de las plataformas de malware más grandes del mundo. Para su desmantelación fue necesaria una coalición internacional de autoridades de los Países Bajos, Estados Unidos, Bélgica, Portugal, Reino Unido y Australia.
Estas autoridades “cerraron tres servidores en los Países Bajos, ha confiscado dos dominios, ha revelado cargos en los Estados Unidos y ha detenido a dos personas en Bélgica”, según dijo EUROJUST en su comunicado. Además, las autoridades internacionales crearon un sitio web informativo: www.operation-magnus.com con recursos adicionales para el público y las posibles víctimas.
Por la magnitud de la estructura de estos malwares, el DOJ trabajó en Estados Unidos junto al Buró Federal de Investigaciones (FBI, «por sus siglas en inglés»), el Servicio de Impuestos Internos Investigación Criminal (IRS-CI, «por sus siglas en inglés»), el Servicio de Investigación Criminal Naval y la División de Investigación Criminal del Ejército.
Adicionalmente, trabajó conjuntamente con múltiples agencias internacionales como el Grupo de Trabajo Conjunto de Acción contra el Cibercrimen (JCAT, «por sus siglas en inglés») de Europol, todos bajo la “Operación Magnus”, para interrumpir las operaciones con ambos infostealers.
Tanto Redline como META, que se distribuían a través de un modelo MaaS, facilitaba el trabajo a otros actores, permitiendo a los afiliados comprar licencias y realizar campañas independientes utilizando técnicas como phishing, publicidad maliciosa y descargas de software falsos para robar datos de forma masiva, que incluían criptomonedas y datos bancarios.
En la Operación Magnus, también se incautaron las cuentas de criptomonedas vinculadas al esquema de robo de información. En general, se clasifica como malware cualquier tipo de software malicioso diseñado para dañar o explotar cualquier dispositivo, servicio o red programable.
Mientras los infostealers o (ladrones de información), son una variante de estos malware que son capaces de robar información sensible de las computadoras de las víctimas, incluidos nombres de usuario y contraseñas, información financiera, información del sistema, cookies, así como también frases semillas y cuentas de criptomonedas.
Luego, la información robada de las víctimas, conocida como “registros”, pasa a ser agrupada en lotes para ser vendida en foros dedicados al mundo de los delitos cibernéticos, con la finalidad de que terceros actores, exploten estos datos, empleando más actividades fraudulentas y otros ataques.
En este caso, los ciberdelincuentes operan un esquema a tres niveles. En primer lugar están los desarrolladores y mantenedores de los servidores del “Malware de consumo”. Estos, ofrecen en mercados de la Deepweb e incluso en Telegram, los infostealers bajo el modelo MaaS.
Luego, segundos actores se dedican a rentar y a utilizar estos determinados malwares para realizar campañas de captura de datos de forma masiva. Estos a su vez, tras generar lotes de registros, ponen a la venta los datos para su explotación.
Finalmente, un tercer grupo de actores compra los registros con la finalidad de analizarlos y comenzar su campaña de ciberataques a todo tipo de víctimas en Internet. De hecho, el DOJ, reveló que el infostealer “RedLine se ha utilizado para realizar intrusiones contra grandes corporaciones”.
Una de las capacidades más peligrosas de los infostealers, como RedLine y META, es que “también pueden permitir a los cibercriminales eludir la autenticación multifactor (MFA) mediante el robo de cookies de autenticación y otra información del sistema”.
Esto quiere decir que al copiar cookies de los navegadores, son capaces de acceder a servicios en línea, redes sociales, correos electrónicos, bancos, etc., evitando tener que realizar nuevamente la autenticación de sus cuentas.
Por lo general, este tipo de malware dedicado al robo de información, es distribuido a las víctimas mediante publicidad maliciosa, phishing por correo electrónico, descargas fraudulentas de software y descarga lateral de software malicioso, por lo que es importante evitar acceder a links no conocidos sin contar con la debida protección en los sistemas informáticos.
El DOJ y EUROJUST, coinciden en informar que tanto RedLine como META han infectado millones de computadoras en todo el mundo (aunque todavía no se ha llegado al número exacto). Sin embargo, según algunas estimaciones de las agencias y empresas de ciberseguridad, RedLine es una de las principales variantes de malware del mundo.
Tras la incautación de los servidores, el DOJ dijo que “las fuerzas del orden han recopilado datos de registros de víctimas robados de computadoras infectadas con RedLine y META”, señalando que “los agentes han identificado millones de credenciales únicas (nombres de usuario y contraseñas), direcciones de correo electrónico, cuentas bancarias, direcciones de criptomonedas, números de tarjetas de crédito, etc.”.
A pesar de ello, el DOJ no cree que estén en posesión de todos los datos robados y se continúa realizando la investigación para identificar los alcances del esquema usado por los creadores de ambos infostealers.
De igual modo, EUROJUST reveló que “las investigaciones sobre RedLine y Meta comenzaron después de que se presentaran las primeras víctimas y una empresa de seguridad notificara a las autoridades sobre posibles servidores en los Países Bajos vinculados al software”.
El hallazgo determinó que más de 1.200 servidores en docenas de países estaban ejecutando el malware. Esto ameritó una coalición de agencias que trabajaran coordinadamente para desmantelar las fuentes de ambos malwares transnacionales.
Hasta ahora, se han levantado cargos contra Maxim Rudometov, uno de los desarrolladores y administradores de RedLine Infostealer, el cual según el texto de la denuncia, accedía y administraba regularmente la infraestructura de RedLine Infostealer, estaba asociado con varias cuentas de criptomonedas utilizadas para recibir y lavar pagos y estaba en posesión del malware de RedLine.
Rudometov, ha sido acusado de fraude de dispositivo de acceso, conspiración para cometer intrusión informática y lavado de dinero, delitos por los que se enfrenta una pena máxima de 10 años de prisión por fraude de dispositivo de acceso, cinco años de prisión por conspiración para cometer intrusión informática y 20 años de prisión por lavado de dinero.