De politie heeft wederom de infrastructuur achter twee belangrijke malwareleveranciers ontmanteld. Het gaat om servers achter de Redline- en Meta-infostealers. Met de actie is een klap uitgedeeld aan cybercriminelen die deze malware gebruiken voor het buitmaken van persoonlijke data. Al kun je pas écht van een succes spreken als er ook arrestaties plaatsvinden.
De politieactie vond plaats onder de vlag van ‘Operation Magnus’. Dat is een langlopende, internationale politiecampagne waarin de Nederlandse politie samenwerkt met diensten als de FBI, de Belgische federale politie en de NCIS, de recherchedienst van de Amerikaanse marine.
De wijze van aankondigen is vergelijkbaar met die van eerdere acties, zoals Operation Endgame en de klap richting de ransomware-groep LockBit. Door middel van een promotievideo steken de politiediensten de draak met de criminelen, op een wijze die vergelijkbaar is met de spottende berichten die hackerscollectieven zélf nogal eens de wereld in slingeren.
Daarin beweren de ordediensten dat ze ‘volledige toegang’ hebben gekregen tot de de servers van Redline en Meta, inclusief kritieke gegevens zoals gebruikersnamen, wachtwoorden, IP-adressen en broncode. Dat houdt onder meer in dat de diensten een grote hoeveelheid data hebben van mogelijke kopers en verspreiders van de malware.
Tijdens de actie zijn meerdere Telegram-groepen uit de lucht gehaald die dienden als plek om de malware aan de man te brengen. ‘Tot voor kort was Telegram een dienst waar criminelen zich onaantastbaar en anoniem waanden’, luidt het persbericht van de Nederlandse politie. ‘Uit deze actie is gebleken dat dat niet meer het geval is.’ Waarom dat is, laat zich raden.
Bang maken
De video is vooral bedoeld om gebruikers van de malware -wiens gegevens nu dus mogelijk in handen zijn van de politie- bang te maken voor juridische gevolgen. Die gebruikers krijgen te horen dat ze een ‘VIP-status’ hebben verworven, wat staat voor Very Important to the Police. Een hele reeks aliassen passeert vervolgens de revue. “We kijken er naar uit om je binnenkort te zien”, luidt het slotakkoord. Een dergelijke PR-tactiek gebruikte de politie ook bij de LockBit-campagne eerder dit jaar.
Redline en Meta zijn veel in gebruik in de digitale onderwereld als malware-as-a-service (MaaS). Redline is minstens sinds 2020 in gebruik en populair bij Scattered Spider. Meta bestaat sinds 2022. Beide typen software kosten op criminele marktplaatsen rond de 150 dollar, aldus cybersecurityfirma Acronis tegen The Register.
Software is nagenoeg gelijk
Criminelen die alle functies willen, moeten iets dieper in de buidel tasten: de volledig uitgeruste versie van de malafide software kost zo’n 800 tot 1000 dollar. Beide scannen geïnfecteerde devices op waardevolle referenties die door de gebruiker zijn opgeslagen in de browser of e-mailclient. Die worden geëxfiltreerd en verkocht op ondergrondse marktplaatsen. Dat kan leiden tot vervolgaanvallen zoals ransomware. Volgens de video van de politie zijn de twee stukken software nagenoeg hetzelfde.
Overigens kan een operatie als deze pas écht een succes worden genoemd als er daadwerkelijk arrestaties plaatsvinden, bijvoorbeeld doordat de gegevens die de politie heeft buitgemaakt, ook echt namen en rugnummers van criminelen bevatten. Er is namelijk altijd nieuwe software voorhanden en reserve-servers opgezet, dus alleen de infrastructuur ontmantelen zet weinig zoden aan de dijk.
Bericht geüpdatet op 29 oktober 2024 met een citaat van de Nederlandse politie over het offline halen van Telegram-groepen.
Lees ook: LockBit keert terug met bijgewerkte encryptors en nieuwe servers