เจ้าหน้าที่ตำรวจหยุดยั้งปฏิบัติการมัลแวร์เรดไลน์ และเมต้าอินโฟสตีลเลอร์

ตำรวจแห่งชาติของเนเธอร์แลนด์ได้ยึดโครงสร้างพื้นฐานเครือข่ายสำหรับปฏิบัติการของมัลแวร์เรดไลน์ และเมต้าอินโฟสตีลเลอร์ ในชื่อ"ปฏิบัติการแม็กนัส" โดยเตือนอาชญากรไซเบอร์ว่าขณะนี้ข้อมูลของพวกเขาอยู่ในมือของเจ้าหน้าที่แล้ว

ปฏิบัติการแม็กนัสมีการประกาศบนเว็บไซต์ที่เปิดเผยถึงการหยุดยั้งการทำงานของมัลแวร์เรดไลน์และเมตา โดยระบุว่าขณะนี้กำลังดำเนินการทางกฎหมายตามข้อมูลที่ยึดมาได้

เมื่อวันที่ 28 ตุลาคม 2024 ประกาศสั้นๆ บนเว็บไซต์ปฏิบัติการแม็กนัสระบุว่า ตำรวจของเนเธอร์แลนด์ซึ่งทำงานร่วมกับ FBI และพันธมิตรอื่น ๆ ของหน่วยงานบังคับใช้กฎหมายระหว่างประเทศ ได้ทำงานร่วมกันในปฏิบัติการแม็กนัส ทำให้สามารถขัดขวางการปฏิบัติการของมัลแวร์เรดไลน์ และเมต้าอินโฟสตีลเลอร์ได้

เรดไลน์เป็นมัลแวร์ขโมยข้อมูลบนวินโดวส์ที่มีราคาไม่แพงแต่มีประสิทธิภาพซึ่งถูกขายให้กับอาชญากรไซเบอร์มาตั้งแต่ปี 2020 ส่งผลให้มีการขโมยรหัสผ่านของเหยื่อ, authentication cookies, กระเป๋าเงินดิจิทัล และข้อมูลที่มีความสำคัญอื่น ๆ เป็นจำนวนมาก

เมต้าเป็นโครงการมัลแวร์ขโมยข้อมูลบนวินโดวส์รุ่นใหม่ที่ประกาศเปิดตัวในปี 2022 ทำการตลาดในชื่อเรดไลน์ในเวอร์ชันปรับปรุง โดยคาดว่า Meta น่าจะถูกสร้างขึ้นโดยนักพัฒนากลุ่มเดียวกับ Redline

ข้อมูล Credentials ที่ถูกขโมยไปจะถูกนำไปใช้ หรือขายให้กับผู้โจมตีรายอื่นเพื่อใช้ในการโจมตีเครือข่าย ตั้งแต่การละเมิดข้อมูล ไปจนถึงการโจมตีด้วยแรนซัมแวร์ที่เคยทำให้ระบบการดูแลสุขภาพของสหรัฐฯ หยุดชะงักเป็นวงกว้าง

รายงานของ Specops และ KrakenLabs ระบุว่า ผู้โจมตีได้ใช้เรดไลน์เพื่อขโมยรหัสผ่านมากกว่า 170 ล้านรหัสในช่วงเวลาเพียงหกเดือน

Polite ระบุว่า พวกเขาสามารถยับยั้งปฏิบัติการได้ด้วยความช่วยเหลือจากพันธมิตรด้านการบังคับใช้กฎหมายระหว่างประเทศ รวมถึง FBI, NCIS, กระทรวงยุติธรรมของสหรัฐฯ, Eurojust, NCA และกองกำลังตำรวจในโปรตุเกส และเบลเยียม โดยหน่วยงานต่าง ๆ ได้เผยแพร่คลิปวิดีโอโดยประกาศ "final update" สำหรับผู้ใช้เรดไลน์ และเมต้า พร้อมเตือนว่าขณะนี้พวกเขามีข้อมูลบัญชี, IP ไทม์สแตมป์, รายละเอียดการลงทะเบียน และข้อมูลอื่น ๆ แล้ว

สิ่งนี้ทำให้เห็นว่าผู้สืบสวนมีหลักฐานที่สามารถนำไปใช้ติดตามอาชญากรไซเบอร์ที่ใช้งานมัลแวร์ได้ ดังนั้นการจับกุม และดำเนินคดีจึงน่าจะมีการประกาศในอนาคต

นอกจากนี้เจ้าหน้าที่ยังอ้างว่าสามารถเข้าถึงซอร์สโค้ดได้ รวมถึง license servers, บริการ REST-API. panels สำหรับควบคุม, stealer binaries และบ็อตของเทเลแกรมสำหรับมัลแวร์ทั้งสองตัว ตามที่ระบุในวิดีโอ ทั้งเมต้า และเรดไลน์ใช้โครงสร้างพื้นฐานเดียวกัน ดังนั้นจึงเป็นไปได้ว่าน่าจะถูกสร้างขึ้นโดยนักพัฒนากลุ่มเดียวกัน

นักวิจัยมัลแวร์ g0njxa ให้ข้อมูลกับ BleepingComputer ว่า ทั้งเรดไลน์ และเมต้าถูกขายผ่านบ็อตบนเทเลแกรมซึ่งตอนนี้ถูกลบไปแล้ว

โดย Paul Foster รองผู้อำนวยการหัวหน้าหน่วยอาชญากรรมไซเบอร์แห่งชาติของ NCA ระบุว่า "บริการเหล่านี้ได้รับการสนับสนุนจากระบบของอาชญากรที่ประกอบด้วยเครื่องมือโครงสร้างพื้นฐาน, บริการทางการเงิน, ตลาดซื้อขาย และฟอรัมต่าง ๆ"

ความร่วมมือระหว่างประเทศเช่นนี้เป็นกุญแจสำคัญในการค้นหา และยับยั้งส่วนประกอบต่าง ๆ ของระบบนี้ และท้ายที่สุดก็ทำให้ผู้ก่ออาชญากรรมไซเบอร์ทำงานได้ยากขึ้น ในฐานะส่วนหนึ่งของการสนับสนุนต่อปฏิบัติการแม็กนัส NCA จะวิเคราะห์ข้อมูลที่เกี่ยวข้องทั้งหมดที่ได้รับมาเป็นส่วนหนึ่งของการหยุดยั้ง และลดภัยคุกคามนี้ ข้อมูลเพิ่มเติมเกี่ยวกับปฏิบัติการ, โครงสร้างพื้นฐานที่ถูกยึด และการจับกุมที่อาจเกิดขึ้น มีกำหนดจะเผยแพร่ในวันพรุ่งนี้

ตำรวจเตือนแฮ็กเกอร์

ตำรวจดัตช์มีประวัติการติดต่อกับอาชญากรไซเบอร์มาอย่างยาวนาน หลังจากการบังคับใช้กฎหมายเพื่อเตือนว่าพวกเขากำลังถูกจับตามอง

หลังจากเกิดการยุติปฏิบัติการของบอตเน็ต Emotet ตำรวจดัตช์จึงสร้างบัญชีบนฟอรัมของกลุ่มแฮ็กเกอร์ เพื่อเตือนอาชญากรไซเบอร์ว่าพวกเขาถูกเฝ้าติดตามอย่างใกล้ชิด หลังจากที่ RaidForums ถูกปิดในปี 2022 ตำรวจดัตช์ได้ส่งอีเมล และจดหมายแจ้งต่อสมาชิก RaidForums เพื่อเตือนพวกเขาว่าการกระทำของพวกเขาผิดกฎหมาย

BleepingComputer ได้รับทราบว่าตำรวจดัตช์กำลังใช้วิธีเดียวกันนี้เป็นส่วนหนึ่งของปฏิบัติการแม็กนัส โดยสร้างบัญชีฟอรัม และส่งข้อความโดยตรงเพื่อเตือนอาชญากรไซเบอร์ว่าพวกเขากำลังถูกเฝ้าติดตามอย่างใกล้ชิด

"นี่คือประกาศอย่างเป็นทางการจากหน่วยงานบังคับใช้กฎหมาย เมื่อต้นปีเราได้ควบคุมโครงสร้างพื้นฐานของเรดไลน์ และเมต้าอินโฟสตีลเลอร์ และข้อมูลลูกค้าของพวกเขา"

ปฏิบัติการนี้ดำเนินการร่วมกับหน่วยงานบังคับใช้กฎหมายระหว่างประเทศ ฝ่ายที่เกี่ยวข้องจะได้รับแจ้ง และกำลังดำเนินการทางกฎหมาย สำหรับรายละเอียดเพิ่มเติม (หรือหมายจับ) ดูได้ที่: operation-magnus

นักวิจัยด้านข่าวกรองภัยคุกคามของ eSentire ยังได้แชร์ภาพหน้าจอของข้อความโดยตรงที่ส่งโดยตำรวจเนเธอร์แลนด์ถึงผู้ก่ออาชญากรรมทางไซเบอร์ เพื่อเตือนพวกเขาเกี่ยวกับการกระทำดังกล่าว โดยข้อความระบุว่า "เจ้าหน้าที่บังคับใช้กฎหมายได้เข้าถึงโครงสร้างพื้นฐานเรดไลน์ และเมต้า รวมถึงฐานข้อมูลผู้ใช้ทั้งหมด ข้อมูลลูกค้าเป็นส่วนหนึ่งของชุดข้อมูลนี้ เรากำลังตรวจสอบข้อมูลนี้เป็นส่วนหนึ่งของการสืบสวนประสานงานระหว่างประเทศที่ดำเนินการอยู่"

ภัยคุกคามทางไซเบอร์

ในช่วงสองสามปีที่ผ่านมา มัลแวร์ขโมยข้อมูลได้กลายมาเป็นปัญหาใหญ่สำหรับองค์กร เนื่องจากข้อมูล credentials ที่ถูกขโมยไป มักถูกนำไปขายบน Dark Web หรือปล่อยให้ใช้ฟรีเพื่อสร้างชื่อเสียงในกลุ่มแฮ็กเกอร์

แคมเปญอันตรายที่เกี่ยวข้องกับมัลแวร์ขโมยข้อมูลมีมากขึ้นเรื่อย ๆ โดยผู้โจมตีจะมุ่งเป้าไปที่เหยื่อผ่านช่องโหว่แบบ zero-day, VPN ปลอม, GitHub ปลอม และแม้แต่บน StackOverflow

เรดไลน์ซึ่งเปิดตัวในปี 2020 เป็นหนึ่งในโปรแกรมขโมยข้อมูลที่ใช้กันมากที่สุดในการโจมตี และตั้งแต่นั้นมาก็ทำให้เกิดการขโมยรหัสผ่านของเหยื่อ, authentication cookies, กระเป๋าสตางค์สกุลเงินดิจิทัล และข้อมูลที่มีความสำคัญอื่น ๆ อย่างกว้างขวาง

เมต้า หรือที่เรียกอีกชื่อว่าเมต้าสตีลเลอร์ เป็นมัลแวร์ขโมยข้อมูลสำหรับวินโดวส์รุ่นใหม่ที่เปิดตัวในปี 2022 โดยทำการตลาดภายใต้ชื่อเรดไลน์เวอร์ชันปรับปรุง จากการประกาศของปฏิบัติการแม็กนัส ตอนนี้ทราบแล้วว่าเมต้าน่าจะถูกสร้างขึ้นโดยนักพัฒนาซอฟต์แวร์รายเดียวกับเรดไลน์ แต่การทำงานขอเมต้าเวอร์ชันที่ถูกยับยั้งนั้นแตกต่างจากมัลแวร์เมต้าสตีลเลอร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ของ macOS

Dmitry Emilyanets ผู้อำนวยการฝ่ายการจัดการผลิตภัณฑ์ที่ Recorded Future เปิดเผยบน X ว่า Redline และ MetaStealer ขโมยข้อมูล credentials ไปรวมทั้งหมด 227 ล้านรายการ (อีเมล และรหัสผ่าน) ในปี 2024

ข้อมูลเมต้าของ Future Identity Intelligence ที่บันทึกไว้ได้แสดงให้เห็นภาพของกิจกรรมทั้งหมด โดยระบุว่ามัลแวร์เรดไลน์ ได้ขโมยข้อมูล credentials ไปเกือบพันล้านรายการนับตั้งแต่เปิดตัวครั้งแรก รายงานยังได้เปิดเผยด้วยว่าผู้โจมตีได้ใช้เรดไลน์เพื่อขโมยรหัสผ่านมากกว่า 170 ล้านรายการในเวลาเพียงหกเดือน ข้อมูลที่ถูกขโมยเหล่านี้จะถูกนำมาใช้ หรือขายให้กับผู้โจมตีรายอื่นเพื่อเจาะระบบเครือข่ายขององค์กรซึ่งเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์

ข้อมูล credentials ที่ถูกขโมยไปนั้นถูกใช้เพื่อการโจมตีที่สำคัญที่สุดเมื่อไม่นานมานี้ รวมถึงการโจมตีขโมยข้อมูลของ Snowflake ในวงกว้าง และการโจมตีด้วยแรนซัมแวร์กับ Change Healthcare ซึ่งทำให้ระบบการดูแลสุขภาพของสหรัฐฯ ต้องหยุดชะงักลง

ที่มา : bleepingcomputer