14. November 2024

Operation Magnus bringt RedLine Stealer zu Fall

Im Rahmen der „Operation Magnus“ zerschlugen internationale Behörden am 24. Oktober 2024 erfolgreich die Infrastruktur hinter dem berüchtigten RedLine Stealer und seinem Klon META Stealer. ESET veröffentlicht nun weitere Analysen zur Schadsoftware. Sie geben Einblick in die Funktionsweise des Malware-as-a-Service-Imperiums um die beiden Infostealer. [...]

Stopping collapsing dominos — Im Rahmen der „Operation Magnus“ zerschlugen internationale Behörden am 24. Oktober 2024 erfolgreich die Infrastruktur hinter dem berüchtigten RedLine Stealer und seinem Klon META Stealer. (c) stock.adobe.com/Gajus

„Malware-as-a-Service erfreut sich in der Cybercrime-Community großer Beliebtheit – unsere Untersuchungen zeigen, dass rund 1.000 Abonnenten die Dienste von RedLine und META stealer genutzt haben. Dieser Schlag war daher ein großer Erfolg für die Internetsicherheit“, sagt ESET Forscher Alexandre Côté Cyr, der beide Infostealer untersucht hat. „Basierend auf unserer Analyse des Quellcodes und der Backend-Beispiele haben wir festgestellt, dass hinter beiden Programmen derselbe Autor steckt.“

Bereits im April 2023 beteiligte sich ESET an einer Störung von RedLine Stealer: Mit der Entfernung mehrerer GitHub-Repositories wurde die Benutzeroberfläche, die der Steuerung von Malware-Kampagnen diente, erheblich beeinträchtigt.

Was macht die Schadsoftware so gefährlich?

Die beiden Schadprogramme gehören zu den sogenannten Infostealern. Darunter verstehen IT-Experten Schadsoftware, die auf den Diebstahl persönlicher Informationen spezialisiert ist. RedLine Stealer war beispielsweise in der Lage, eine Vielzahl sensibler Informationen zu sammeln: Cookies, sichere Anmeldeinformationen und Kreditkartendaten von Browsern sowie gespeicherte Daten von Steam, Discord, Telegram und verschiedenen Desktop-VPN-Anwendungen. Über eine eigene Benutzeroberfläche konnten Hacker mit RedLine Stealer ihre digitalen Raubzüge steuern. META Stealer bietet ähnliche Funktionen.

Rückgrat der Malware analysiert

Die detaillierte Untersuchung der internen Strukturen von RedLine ergab, dass die Steuerung über ein Netzwerk von Backend-Modulen organisiert war. Die Serverkommunikation wurde anfangs über das Windows Communication Framework abgewickelt und später auf eine REST-API umgestellt. Diese Anpassung zeigte, wie flexibel und widerstandsfähig die Entwickler hinter RedLine agierten, um auf technische Störungen und Ermittlungsmaßnahmen zu reagieren.

Deutschland von zentraler Bedeutung

Die untersuchten IP-Adressen gaben Aufschluss über die Länder, aus denen die Steuerungsoberfläche von RedLine Stealer gehostet wurde. Deutschland bildete zusammen mit Russland und den Niederlanden mit jeweils 20 Prozent die größte Region. Die restlichen 40 Prozent verteilten sich auf Finnland, die USA und andere Länder. Ein Großteil der Server, auf denen die Schadsoftware lief, befand sich in Russland.

*Heatmap, die die geografische Verteilung der gehosteten RedLine-Kontrolloberfläche zeigt. (c) ESET*

Informationsdiebstahl für jedermann

RedLine wird nicht zentral betrieben, sondern basiert auf einem MaaS-Modell, bei dem jeder Interessierte eine schlüsselfertige Infostealer-Lösung in verschiedenen Online-Foren und Telegram-Kanälen kaufen kann. Kunden oder Partner können sich für eine monatliche Gebühr oder eine lebenslange Lizenz entscheiden.

„Durch den Einsatz einer vorgefertigten Lösung ist es für Partner einfacher, RedLine Stealer in größere Kampagnen zu integrieren. So tarnte sich die Malware beispielsweise 2023 als kostenlose Download-Version von ChatGPT oder Anfang 2024 als Cheat für Videospiele“, erklärt Côté Cyr

Vor der Operation Magnus war RedLine einer der am weitesten verbreiteten Infostealer mit sehr vielen Partnern, die Kontrolloberfläche nutzten. Der Malware-as-a-Service-Anbieter scheint jedoch von einer kleinen Anzahl von Personen kontrolliert zu werden. Einige dieser Personen wurden inzwischen von den Strafverfolgungsbehörden identifiziert.

Potenzial für Wiederaufnahme der Angriffe bleibt

Auch wenn der Betrieb von RedLine momentan eingeschränkt ist, bleiben Gefahren bestehen: Einzelne Stealer-Versionen könnten weiterhin aktiv sein, da ihre Kommunikations-Server zwar geschlossen, jedoch nicht vollständig neutralisiert sind. Durch bereits aktive Installationen und illegal verbreitete Versionen könnte die Malware auf verschiedenen Ebenen wiederauftauchen.

Eine ausführliche technische Analyse finden Sie im Forschungs-Blogpost „RedLine Stealer: Analyse eines berüchtigten Datendiebes“ auf WeLiveSecurity.com.

„Wo ist?“ teilt Standort verlorener Gegenstände mit Dritten

13. November 2024 Patrick Hediger *

Ab sofort in der Beta-Version in iOS 18.2 verfügbar, kann man einen sicheren Link mit dem Standort eines AirTag oder „Wo ist?“-Netzwerkzubehörs mit anderen teilen – demnächst auch mit Fluggesellschaften. […]

Neue Phishing-Angriffswelle nimmt Arbeitssuchende auf LinkedIn ins Visier

13. November 2024 Martin J. Krämer *

Laut einem kürzlich von Malwarebyte-Forschern veröffentlichten Bericht sind Cyberkriminelle zunehmend auf LinkedIn aktiv. Mit Phishing- und Spear Phishing-Kampagnen versuchen sie, an die Anmeldedaten ihrer Opfer, die auf LinkedIn nach einer (besseren) Anstellung suchen, zu gelangen. […]

Warum sich Unternehmen mit der Einführung neuer Technologien oft schwer tun

13. November 2024

Laut der Umfrage „Innovation & Technology Adoption“ haben 57 Prozent der Unternehmen schon mal aufgrund der damit verbundenen Herausforderungen auf die Einführung einer vielversprechenden neuen Technologie verzichtet. Die Managementberatung Detecon analysiert, woran das liegt. […]

Coden mit GenAI? Keine gute Idee!

13. November 2024 Uwe Specht *

Auch wenn die Versuchung groß ist: Entwickler sollten lieber die Finger davonlassen, Code mit generativer KI Code zu erzeugen. Das geht zwar superschnell, aber die Rechnung dafür ist gesalzen. […]

Alles über NAS

13. November 2024 Andreas Dumont *

Mit einem Netzwerkspeicher (NAS) holen Sie sich einen zentralen Server und Datenspeicher mit zahlreichen Funktionen in Ihr Heimnetzwerk. Worauf es dabei ankommt, erklärt Ihnen dieser Artikel. […]

"Besser als ein paar Prozent bei der Cyber-Versicherung einzusparen oder einen Teil des Schadens ersetzt zu bekommen, ist es, erst gar nicht Opfer zu werden." (c) Pexels

Ransomware mit mehreren Security-Layern bezwingen

13. November 2024 Daniel Müller*

In der IT-Sicherheit dreht sich vieles seit Jahren scheinbar nur um Ransomware. Entgegen der Annahme, dass sich die Situation langsam entschärft, da Unternehmen das Problem ernst nehmen und entsprechende Maßnahmen ergreifen, sprechen die bloßen Zahlen dagegen: Die Gefahr wächst stetig und es wird immer schwieriger, sich gegen Angriffe von Cyberkriminellen zu schützen. […]

Das neue Headquarter von MIC in der Linzer Lederergasse. (c) Wakolbinger

MIC eröffnet nachhaltiges Headquarter in Linz

12. November 2024 pi/cb

Das international tätige Linzer Softwareunternehmen MIC hat nach 20 Monaten Bauzeit die neue Firmenzentrale in Linz fertiggestellt. Der Bau des neuen MIC-Headquarters wertet die Landeshauptstadt als IT-Standort auf und soll Impulse für den heimischen Wirtschaftsstandort bringen. […]

Jennifer Belissent, Principal Data Strategist bei Snowflake (cO Snowflake

Datenvielfalt: Auch KI-Modelle brauchen eine zweite Meinung

12. November 2024 Jennifer Belissent*

KI-Modelle sind nur so gut wie ihre Datengrundlage. Je mehr unterschiedliche Daten sie haben, desto genauer – und auch fairer – sind ihre Entscheidungen. Das Schlüsselwort ist hier: Datenvielfalt. […]

Agenda Europe 2035: für eine sichere und wettbewerbsfähige Zukunft in der EU

12. November 2024

Das effiziente Zusammenspiel zwischen Europas Wirtschaft und der Öffentlichen Hand ist gerade in unseren bewegten Zeiten unerlässlich. Viele IKT-Entscheider beider Sektoren sehen sich mit einer Vielzahl von Herausforderungen konfrontiert, die es zu bewältigen gilt. Doch was können die Digitalisierung und Informations- und Kommunikationstechnologie (IKT) zur Bewältigung dieser Herausforderungen beitragen? […]