La police nationale néerlandaise, ainsi que des partenaires internationaux, ont annoncé la perturbation de l’infrastructure alimentant deux voleurs d’informations identifiés comme RedLine et MétaStealer.
Le démantèlement, qui a eu lieu le 28 octobre 2024, est le résultat d’un groupe de travail international chargé de l’application de la loi nommé Opération Magnus cela impliquait des autorités des États-Unis, du Royaume-Uni, de Belgique, du Portugal et d’Australie.
Eurojust, dans un déclaration publié aujourd’hui, indique que l’opération a conduit à la fermeture de trois serveurs aux Pays-Bas et à la confiscation de deux domaines. Au total, on estime que plus de 1 200 serveurs répartis dans des dizaines de pays ont été utilisés pour exécuter le malware.
Dans le cadre de ces efforts, un administrateur a été inculpé par les autorités américaines et deux personnes ont été arrêtées par la police belge, la Politie ditprécisant que l’un d’eux a depuis été libéré, tandis que l’autre reste en détention.
Le ministère américain de la Justice (DoJ) a accusé Maxim Rudometov, l’un des développeurs et administrateurs de RedLine Stealer, de fraude sur les appareils d’accès, de complot en vue de commettre une intrusion informatique et de blanchiment d’argent. S’il est reconnu coupable, il encourt une peine maximale de 35 ans de prison.
« Rudometov accédait et gérait régulièrement l’infrastructure de RedLine Infostealer, était associé à divers comptes de crypto-monnaie utilisés pour recevoir et blanchir des paiements et était en possession du malware RedLine », a déclaré le DoJ. dit.
L’enquête sur l’infrastructure technique des voleurs d’informations a débuté il y a un an sur la base d’une information de la société de cybersécurité ESET selon laquelle les serveurs sont situés aux Pays-Bas.
Parmi les données saisies figuraient des noms d’utilisateur, des mots de passe, des adresses IP, des horodatages, des dates d’enregistrement et le code source des deux logiciels malveillants voleurs. Parallèlement, plusieurs comptes Telegram associés au malware voleur ont été mis hors ligne. Une enquête plus approfondie sur leurs clients est en cours.
« Les infostealers RedLine et MetaStealer ont été proposés aux clients via ces groupes », ont déclaré les forces de l’ordre néerlandaises. « Jusqu’à récemment, Telegram était un service où les criminels se sentaient intouchables et anonymes. Cette action a montré que ce n’est plus le cas. »
Il convient de noter que la cible MetaStealer dans le cadre de l’Opération Magnus est différente du malware MetaStealer connu pour cibler les appareils macOS.
Les voleurs d’informations tels que RedLine et MetaStealer sont des rouages cruciaux dans la roue de la cybercriminalité, permettant aux acteurs malveillants de siphonner des informations d’identification et d’autres informations sensibles qui pourraient ensuite être vendues à d’autres acteurs malveillants pour des attaques ultérieures comme les ransomwares.
Les voleurs sont généralement distribués selon un modèle de malware en tant que service (MaaS), ce qui signifie que les principaux développeurs louent l’accès aux outils à d’autres cybercriminels, soit sur la base d’un abonnement, soit pour une licence à vie.