Il 28 ottobre, l’FBI (in collaborazione con le forze dell’ordine in Europa, UK e Australia) ha condotto l’Operazione Magnus, sequestrando server e acquisendo il codice sorgente del famigerato infostealer RedLine, un esempio di MaaS (Malware-as-a-Service) attivo dal 2020, che ha compromesso milioni di utenti in tutto il mondo, sottraendo dati sensibili come dettagli di carte di credito, cronologia del browser, password, dati di compilazione automatica ed email.

Cos’è RedLine?

RedLine è un malware classificato come infostealer, progettato per rubare informazioni sensibili dalle macchine infette. Questo malware può sottrarre credenziali di accesso salvate nei browser, dati delle carte di credito, cronologia web, informazioni di compilazione automatica e persino dettagli relativi ai portafogli di criptovalute. La facilità con cui RedLine si diffonde e il modo in cui può essere adattato dai cybercriminali lo rendono una delle minacce più diffuse nel panorama della sicurezza informatica.

Cos’è il MaaS (Malware-as-a-Service)?

Il MaaS (Malware-as-a-Service) è un modello di business criminale in cui gli sviluppatori di malware offrono il loro software dannoso a pagamento, simile a un servizio in abbonamento. In pratica, i cybercriminali senza conoscenze tecniche avanzate possono “noleggiare” o acquistare strumenti come RedLine per attacchi mirati, pagando agli sviluppatori una tariffa o una percentuale dei guadagni illeciti. Il successo di questo modello di distribuzione ha reso più accessibili le operazioni di cybercrime a un’ampia gamma di utenti malintenzionati.

L’indagine

Ad agosto 2021, una società di sicurezza ha segnalato volontariamente al governo statunitense dati provenienti da uno dei server di licenze di RedLine. Con un mandato di perquisizione, gli investigatori hanno scoperto prove che collegano il cyber-criminale russo Maxim Rudometov alla creazione e distribuzione di RedLine. Secondo un mandato di arresto dell’FBI, Rudometov accedeva al server di licenze usando diversi alias. Il 16 maggio 2021, un utente con il nome “Heijs” e un indirizzo IP che terminava in .180 ha richiesto una build di RedLine al server di licenze. Poco dopo, lo stesso IP ha effettuato l’accesso a un account iCloud appartenente a Rudometov. L’indagine ha poi rivelato ulteriori indirizzi IP associati agli account online di Rudometov, utilizzati con nomi come “Admin12” e “testpanel.”

Sulle tracce di Rudometov

Il 2 maggio 2021, una persona con un indirizzo IP che terminava in .14 ha firmato un file dannoso tramite il server. Circa un’ora prima, lo stesso IP aveva effettuato l’accesso all’account iCloud di Rudometov. Questo indirizzo IP, assegnato a un provider di servizi Internet di Krasnodar, ha collegato le attività di Rudometov, dai forum di hacker a un repository GitHub contenente exploit per dispositivi Windows. L’FBI ha pubblicato alcune immagini di Rudometov, tra cui alcune provenienti dal suo profilo VK, che indicano che ha vissuto a Luhansk, in Ucraina. Tuttavia, le prove digitali raccolte dal gruppo di ricerca OSINord lo localizzano a Krasnodar, in Russia, complicando la possibilità di un’azione legale diretta.