Une coalition internationale débranche les infostealers Meta et Redline

Plusieurs autorités judiciaires ont mené une action coordonnée pour démanteler deux logiciels voleurs de données très populaires, Meta et Redline.

Un coup dur a été porté dans le domaine de la cybercriminalité avec l’opération Magnus menée conjointement par plusieurs pays (Belgique, Pays-Bas, Angleterre, Portugal, Australie, Etats-Unis…) et coordonnée par Eurojust contre des infostealers. Ces logiciels spécialisés dans le vol de données et en particulier des identifiants sont importants dans la chaîne de valeur de la cybercriminalité notamment pour les attaques par ransomware. Dans l’opération internationale, deux infostealers ont été démantelés : Meta et Redline. Elle a abouti à la fermeture de serveurs, l’extraction d’une base de données clients, l’inculpation d’un développeur et l’arrestation de deux autres personnes.

Redline a vu le jour au début des années 2020 en commençant par se diffuser dans le cadre de campagne sur le thème du Covid. Depuis, l’infostealer est devenu très populaire en ayant ciblé des millions d’utilisateurs, selon Eurojust. Redline a été commercialisé sur des forums cybercriminels en langue russe au prix de 150 dollars pour la version Lite, 200 dollars pour la version Pro et 100 dollars par mois sous forme d'abonnement, ce qui le rend accessible à un large éventail de cybercriminels. Il est capable notamment de voler des informations stockées dans les navigateurs, telles que les adresses électroniques, les cookies d'authentification, les mots de passe, les cartes de crédit et d'autres données de formulaires remplis automatiquement, qui peuvent inclure des mots de passe, des mots de passe et d'autres informations. Le malware Meta est une version de Redline qui a fait ses premières armes en 2022 avec les mêmes caractéristiques.

Des millions d’identifiants uniques récupérés

L'enquête a débuté après que la filiale néerlandaise de l’éditeur Eset a contacté la police au sujet de l'existence de serveurs Redline aux Pays-Bas. Les autorités ont réussi à prendre le contrôle des serveurs et à obtenir des informations sur le fonctionnement de l'ensemble de l'infrastructure, composée de plus de 1 200 serveurs répartis dans le monde entier. Par ailleurs, une base de données de clients cybercriminels ayant acheté Redline et Meta a également été récupérée et servira de base à la poursuite de l'enquête.

Le ministère américain de la Justice (DoJ) a annoncé l'inculpation de Maxim Rudometov, l'un des développeurs et administrateurs présumés de Redline. Selon les enquêteurs, il a été observé en train d'accéder régulièrement à l'infrastructure Redline, ainsi qu'à divers comptes de crypto-actifs utilisés pour recevoir des paiements associés à l’infostealer. Concernant les victimes, « grâce à diverses mesures d'enquête, les forces de l'ordre ont recueilli des données de connexion de victimes volées sur des ordinateurs infectés par Redline et Meta. Bien que le nombre exact n'ait pas été arrêté, les agents ont identifié des millions d'identifiants uniques (noms d'utilisateur et mots de passe), d'adresses électroniques, de comptes bancaires, d'adresses de crypto-actifs, de numéros de cartes de crédit, etc. », a déclaré le DoJ. A noter qu’Eset a développé une analyse en ligne gratuite pour déterminer si un ordinateur a été infecté par l'un de ces deux malwares. L'éditeur propose également des conseils supplémentaires en cas de détection d'une infection.