FOCUS ON

Smantellato RedLine Stealer, si prevedono lunghi strascichi

27 Dicembre 2024
RedLine Stealer TS-Way cover

Le prime campagne, durante la pandemia

Agli inizi di marzo 2020 veniva tracciato un nuovo infostealer chiamato RedLine Stealer.

Nel pieno della pandemia dovuta al Coronavirus, gli attaccanti avevano realizzato e-mail di phishing che sembravano inviti ufficiali provenienti dal progetto di calcolo distribuito Folding@home. La scelta dell’esca dimostrava una particolare attenzione per il social engineering, poiché Folding@home, sviluppato e gestito dal laboratorio Pande alla Stanford University, è impegnato, fra l’altro, a supportare la ricerca di nuove cure per molte patologie. Nell’arco di pochi mesi la minaccia sarebbe divenuta una delle più sfruttate al mondo.

Un popolare malware-as-a-service di matrice russa

RedLine Stealer è un malware-as-a-service sviluppato da avversari russi. La versione originale veniva rilasciata in abbonamento mensile, ma già nel corso delle prime analisi sono state rilevate anche versioni piratate, vendute a poche centinaia di euro. Nell’annuncio ufficiale, pubblicato su forum underground e canali Telegram, si elencavano numerose funzionalità che permettono l’esfiltrazione dei dati dei browser e dei client FTP, l’acquisizione e il download di file, la raccolta dei dati di sistema, la sottrazione di screenshot, l’injection di eseguibili, l’apertura di link attraverso il browser e la violazione dei wallet di criptovaluta.

Nel 2022, è comparso un suo clone, chiamato META Stealer, molto probabilmente realizzato dagli stessi autori. Da allora, lo sviluppo di entrambe le famiglie di malware è proseguito parallelamente.

Uno stealer sfruttato per il crimine e lo spionaggio

Sample di RedLine sono stati utilizzati da avversari di diversa matrice. Lo stealer era presente nell’arsenale sfruttato dai criminali che hanno realizzato il data breach ad Airbus nel 2023 e in quello degli attaccanti della lunga campagna che ha coinvolto il provider di cloud computing SnowFlake.

Quest’anno è emerso che il gruppo crime Stargazer Goblin aveva realizzato un servizio per la distribuzione as-a-service di numerose minacce, fra cui RedLine Stealer. L’infrastruttura, basata su una rete di oltre 3.000 account GitHub falsi o compromessi sarebbe stata messa in piedi ad agosto 2022. Inoltre, gli analisti del CERT ucraino hanno associato RedLine a casi di exploitation della vulnerabilità CVE-2024-43451 di Windows, sanata a novembre. Una delle ipotesi è che si tratti di operazioni di spionaggio contro realtà del Paese, in alcune delle quali potrebbe essere implicato un attaccante russo.

Operation Magnus ha smantellato l’infrastruttura originaria

Il 28 ottobre 2024 la Polizia Nazionale olandese, in collaborazione con l’FBI e altri partner di una task force internazionale di Polizia ha interrotto l’attività di Redline e META. Si è trattato di un’operazione di tipo JCAT (Joint Cybercrime Action Taskforce), alla quale ha partecipato una coalizione internazionale di autorità provenienti da Paesi Bassi, Stati Uniti, Belgio, Portogallo, Regno Unito e Australia.

Le indagini su RedLine e META sono iniziate dopo che le vittime si sono fatte avanti e che una società di sicurezza ha informato le autorità della presenza nei Paesi Bassi di possibili server collegati al software malevolo.

Nel complesso, le Forze dell’Ordine hanno chiuso tre server nei Paesi Bassi, sequestrato due domini, desecretato accuse negli Stati Uniti e preso in custodia due persone in Belgio. Inoltre, sono stati raccolti i dati di log delle vittime, rubati dai computer infettati da RedLine e META, e sono stati recuperati milioni fra credenziali univoche, indirizzi e-mail, conti bancari, indirizzi di criptovaluta, numeri di carte di credito, ecc. Infine, è stato scoperto un database di client delle due minacce.

Al momento, le autorità USA non credono di essere in possesso di tutti i dati rubati e continueranno ad indagare per censirne quanti più possibile. Parallelamente, si cercherà di identificare i criminali che utilizzano i dati rubati.

Secondo quanto rilevato nel corso di precedenti investigazioni, il cittadino russo Maxim Rudometov gestiva direttamente e regolarmente l’infrastruttura di RedLine ed era associato a vari account di criptovaluta utilizzati per ricevere e riciclare pagamenti. Se condannato, l’uomo rischia una pena massima di dieci anni di carcere per frode su dispositivo di accesso, cinque anni per cospirazione finalizzata alle intrusioni informatiche e venti anni per riciclaggio di denaro.

A sostegno delle investigazioni future, è stato attivato il portale www.operation-magnus[.]com che contiene risorse per il pubblico e per le potenziali vittime.

Ma la minaccia non si è esaurita

Operation Magnus è il secondo intervento che viene effettuato contro questa vasta e differenziata attività criminale e non è escluso che la vicenda continui ad avere strascichi.

Ad aprile 2023 era avvenuta la rimozione di diversi repository GitHub utilizzati come risolutori dead-drop per il pannello di controllo. Questi moduli, che non interagiscono direttamente con il malware, gestiscono l’autenticazione degli operatori e forniscono funzionalità per il pannello.

Gli analisti che hanno partecipato a questa prima operazione hanno confermato l’esistenza di vecchie copie craccate del malware, le quali potrebbero ancora funzionare. Inoltre, si sospetta che i criminali possano continuare ad utilizzare RedLine e META attraverso metodi alternativi alla piattaforma as-a-service originaria.

Tali considerazioni si affiancano a rivelazioni recentissime. A poco più di un mese dall’annuncio di Operation Magnus, è stata descritta una campagna contro entità russe, le cui finalità potrebbero essere sia finanziarie che politiche. Gli attaccanti hanno distribuito RedLine su forum online locali, frequentati da contabili e titolari di aziende, spacciandolo per uno strumento che consente di aggirare il blocco delle licenze di popolari software. Tale provvedimento è stato preso dai provider nell’ambito delle sanzioni contro la Russia dovute al conflitto in Ucraina. L’offensiva, avviata a gennaio di quest’anno, era ancora in corso agli inizi dicembre.


Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, dal 2023 parte di Telsy.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence