Operation Magnus:人気スティーラーRedlineとMetaをオランダ警察などがテイクダウン
人気のインフォスティーラーRedlineおよびMetaのオペレーションを、オランダ国家警察など複数国の法執行機関が阻止。月曜(現地時間)に「Operation Magnus」という作戦名が冠されたWebサイトが立ち上げられ、ここにアップされた動画でこのテイクダウン作戦の概要が紹介されている。
この動画によると、当局は両スティーラーの全サーバーへの「フルアクセス」を獲得。これにより、ユーザーのユーザー名やパスワード、IPアドレス、タイムスタンプ、登録日といった情報のほか、両スティーラーのソースコードとTelegramボットを入手することに成功したとされる。動画では加えて、「VIP」ユーザーのユーザー名一覧も確認できる。当局によると、ここでの「VIP」が意味するところは、「Very Important to the Police(警察にとって非常に重要」なのだという。
Operation Magnus作戦で逮捕者が出たかどうかは現時点で不明だが、この特設サイトにはタイマーが表示されており、これによれば29日(オランダ現地時間)に今回のテイクダウンに関するさらなる情報が公開されるものとみられる。
インフォスティーラーは、パスワードやクレジットカードデータ、検索履歴、暗号資産ウォレット情報といった機微性の高い情報を盗む性能を持つ情報窃取型のマルウェア。盗まれた情報はデータ侵害やランサムウェアインシデントなどに繋がり得ることから、近年スティーラーの脅威はかなり危険視されている。中でもRedlineは非常に悪名高く、2020年の登場以来、何億人分もの機微データを盗み取ってきたと報じられている。一方でMetaは比較的新しいスティーラーだが、Operation Magnusの特設サイトの動画では「(RedlineとMetaが)実はほぼ同じであることを知っていましたか?」という字幕が流れる。現時点でその真意は不明だが、今後リリースされる新情報によって、両スティーラーの関係性についても明かされるものと思われる。
[Update: 10月30日]
29日(現地時間)には、Redlineの開発や運用に携わったとされるロシア国籍のMaxim Rudometov被告が米当局によって起訴されたことが明らかに。ロシア語のハッキングフォーラムやSkype、ソーシャルメディア(VK)、マッチングアプリなどの複数プラットフォームでメールアドレスやユーザー名などが使い回されていたことが、身元の特定に繋がったという。
これとは別に、以下のような情報も新たに明かされた:
- Operation Magnusにより、オランダ国内の3つのサーバーがテイクダウンされたほか、RedlineおよびMetaのC2オペレーションに使われていた2つのドメインが差し押さえられた。
- 両スティーラーに関連する複数のTelegramアカウントもテイクダウンされ、これによりスティーラーの販売が停止するに至った。
- ベルギー国内で、スティーラーの購入者1人を含む2個人が逮捕された。
(参考:TechCrunch “How a series of opsec failures led US authorities to the alleged developer of the Redline password-stealing malware“)
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠