広範囲にわたる国際的な取り組みの一環として、米国司法省、連邦捜査局、および複数の世界各国の法執行機関が、世界で最も悪名高い 2 つの情報窃盗マルウェア ネットワークである RedLine Stealer と META を標的とした「Operation Magnus」を摘発しました。
10月29日に発表されたプレスリリースによると、この作戦により複数のサーバーが押収され、RedLine Stealer開発者に対する容疑が明らかになり、ベルギーで容疑者2名が逮捕されたという。
RedLineとMETAの情報窃盗
RedLine StealerとMETAは、「インフォメーション・スティーラー」または「インフォスティーラー」と呼ばれる、機密性の高いユーザーデータを窃取する2つの異なる種類のマルウェアです。RedLine Stealerの存在は2020年に初めて報告され、METAは2022年に初めて登場しました。
METAマルウェアの担当者はインタビューで、当初はRedLine Stealerのソースコードの一部を利用して開発されていたことを明らかにしました。このソースコードは、あるオークションで入手したものです。どちらのマルウェアも、感染したコンピュータから以下のような機密情報を盗み出すことができます。
- 電子メールボックスを含むオンライン サービスのユーザー名とパスワード。
- クレジットカード番号や銀行口座などの財務情報。
- オンライン サービスでユーザーになりすますためのセッション クッキー。
- 暗号通貨ウォレット。
参照: 効果的なサイバーセキュリティ意識向上プログラムの作成方法 (TechRepublic Premium)
どちらのマルウェアも、多要素認証を回避する機能を備えています。盗まれた情報はマルウェアの管理者によって使用されるだけでなく、「ログ」と呼ばれるファイルとして、サイバー犯罪者のアンダーグラウンドフォーラムやマーケットプレイスで販売されることもあります。
RedLine StealerとMETAは世界中で数百万台のコンピュータに感染し、さらに多くの認証情報を盗み出しました。パスワードセキュリティに特化した企業Specops Softwareによると、RedLine Stealerはわずか6ヶ月で1億7000万件以上のパスワードを盗み出し、METAは同じ期間に3800万件のパスワードを盗んだとのことです。
DOJ のプレスリリースによると、RedLine Stealer は大企業への侵入にも使用されている。
マルウェア・アズ・ア・サービス(MaaS)ビジネスモデル
どちらのマルウェアファミリーも、Malware-as-a-Service(MaaS)ビジネスモデルを通じて販売されています。サイバー犯罪者は、マルウェアの亜種を使用するライセンスを購入し、独自の感染キャンペーンを開始します。これは、感染メール、マルバタイジング、不正ソフトウェアのダウンロード、悪質ソフトウェアのサイドローディング、インスタントメッセージングなどを通じて行われます。様々なサイバー犯罪者が、偽のWindowsアップデートなど、様々なソーシャルエンジニアリングのルアーやトリックを用いて被害者を感染させています。
複数のサーバー、通信チャネルがシャットダウン
テキサス州西部地区が発行した令状により、法執行機関は RedLine Stealer と META が使用する 2 つのコマンド アンド コントロール ドメインを押収する権限を与えられました。
両方のドメインに、操作に関するコンテンツが表示されるようになりました。
オランダでは3つのサーバーがシャットダウンされ、複数のRedLine StealerおよびMETA通信チャネルがベルギー当局によって閉鎖された。
さらに、「オペレーション・マグナス」に関するウェブサイトでは、被害者への情報提供と支援を行っています。ウェブサイトに掲載されている動画は、RedLineやMETAを利用したサイバー犯罪者への強いメッセージとなっており、「警察にとって非常に重要な人物」とされるVIPのニックネームリストを公開し、最後に手錠の画像と「またお会いできるのを楽しみにしています!」というメッセージで締めくくられています。
このウェブサイトでは、サイバーセキュリティ企業 ESET の RedLine/META 感染を検出するオンライン スキャナーも提供しています。
米国司法省は、RedLine Stealerマルウェアの開発者兼管理者の一人であるマキシム・ルドメトフ氏に対する容疑も公開しました。同氏はRedLineのインフラに定期的にアクセスし、管理していました。ルドメトフ氏はまた、RedLineの顧客からの支払いの受け取りとマネーロンダリングに使用されていた複数の暗号通貨ウォレットにも関与しています。
ベルギーでは他の2人も拘留されたが、1人は詳細は公表されないまま釈放された。
情報窃盗から身を守る方法
情報窃盗犯はさまざまな方法でコンピュータに感染する可能性があります。そのため、共通の脆弱性を悪用する感染を防ぐために、すべてのシステムとソフトウェアを更新し、パッチを適用する必要があります。
さらに、企業は次のような方法でサイバー犯罪者から身を守ることができます。
- すべてのシステムにセキュリティ ソフトウェアとウイルス対策を実装します。
- 多要素認証を導入すると、認証を必要とするサービスにセキュリティ保護層が追加されます。
- システムが侵害された場合は、すべてのパスワードを変更してください。これは、システムから窃盗犯が除去されたらすぐに行う必要があります。
さらに、ユーザーは異なるサービスで同じパスワードを使い回すべきではありません。パスワードマネージャーの使用は、あらゆるサービスやツールに単一の複雑なパスワードを使用する上で非常に効果的であり、組織では必須です。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
