5 nov 2024

Publican información del creador del infostealer "RedLine" mediante OSINT

Una coalición de agencias internacionales de aplicación de la ley ha estado investigando al creador y distribuidor de la notoria variante del ladrón de información RedLine en una operación denominada en código "Operación Magnus".

RedLine, un MaaS (Malware como Servicio), ha robado datos confidenciales de millones de usuarios en todo el mundo, incluidos datos de tarjetas de crédito, historial del navegador, datos de formularios de autocompletado, correos electrónicos y contraseñas. Activa desde 2020, RedLine es una de las variantes de robo de información más extendidas.

Lo que se sabe hasta ahora mediante OSINT

En agosto de 2021, las fuerzas del orden obtuvieron una parte de los datos de uno de los servidores de licencias de RedLine, que una empresa de seguridad comunicó voluntariamente al gobierno de Estados Unidos. Los investigadores estadounidenses consiguieron entonces una orden de registro para analizar los datos y descubrieron pruebas que vinculaban a Maxim Rudometov con el desarrollo y la implementación de RedLine. Según una orden de arresto del FBI, se descubrió que Rudometov interactuaba con el servidor de licencias o accedía a él utilizando varios nombres de usuario.

El 16 de mayo de 2021, un nombre de usuario "Heijs" que utilizaba una dirección IP que terminaba en *.*.*.180 solicitó una compilación de RedLine desde el servidor de licencias. Aproximadamente nueve minutos después, Apple registró la misma dirección IP como si hubiera accedido a una cuenta de iCloud perteneciente a Maxim Rudometov. Otras direcciones IP asociadas a las cuentas en línea de Rudometov también interactuaron con el servidor de licencias de RedLine, bajo los nombres de usuario "Admin12" y "testpanel".

Además, el 2 de mayo de 2021, un individuo que utilizaba una dirección IP que terminaba en *.*.*.14 firmó un archivo malicioso a través del servidor de licencias. Aproximadamente una hora antes, la misma dirección IP se registró en una cuenta de iCloud de Apple perteneciente a Rudometov mientras jugaba a un juego móvil.

La dirección IP fue asignada a un proveedor de servicios de Internet en Krasnodar, Rusia, y luego se vinculó a una cuenta de Skype utilizada en foros de delincuentes y para acceder a un repositorio de GitHub que contenía un exploit conocido para dispositivos Windows. Solo en julio de 2021, esta dirección IP habría accedido a la cuenta de iCloud aproximadamente 701 veces.

Existen pruebas sólidas que implican a Maxim Rudometov como un individuo importante detrás de MaaS RedLine. Su dirección IP está asociada a un proveedor de servicios de Internet ubicado en Krasnodar, Rusia. Además, ha estado ubicado en Luhansk, Ucrania, en algún momento de su vida.

Existe evidencia de respaldo que indica que Maxim Rudometov estaba efectivamente en Luhansk, Ucrania, en 2021. Durante ese tiempo, obtuvo una licencia de conducir de una escuela de manejo en Luhansk llamada "AutoLux".

En múltiples ocasiones se ha localizado a Rudometov en clubes nocturnos, bares y restaurantes de lujo, lo que aporta información interesante sobre su estilo de vida y su paradero. Además, se han encontrado fotografías recientes de Maxim Rudometov, tomadas en julio de 2024.

Se puede ver la cronología de la investigación OSINT completa en este enlace.

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!