Bl0ckch41nnewsPublican información del creador del infostealer "RedLine" mediante OSINT
Una coalición de agencias internacionales de aplicación de la ley ha estado
investigando al creador y distribuidor de la notoria variante del ladrón de
información RedLine en una operación denominada en código
«Operación Magnus».
RedLine, un MaaS (Malware como Servicio), ha robado datos confidenciales de
millones de usuarios en todo el mundo, incluidos datos de tarjetas de crédito,
historial del navegador, datos de formularios de autocompletado, correos
electrónicos y contraseñas. Activa desde 2020,
RedLine es una de las variantes de robo de información más extendidas.
Lo que se sabe hasta ahora mediante OSINT
uno de los servidores de licencias de RedLine, que una empresa de seguridad
comunicó voluntariamente al gobierno de Estados Unidos. Los investigadores
estadounidenses consiguieron entonces una orden de registro para analizar los
datos y descubrieron pruebas que vinculaban a Maxim Rudometov con el
desarrollo y la implementación de RedLine. Según una orden de arresto del FBI,
se descubrió que Rudometov interactuaba con el servidor de licencias o accedía
a él utilizando varios nombres de usuario.
El 16 de mayo de 2021, un nombre de usuario «Heijs» que utilizaba una
dirección IP que terminaba en *.*.*.180 solicitó una compilación de RedLine
desde el servidor de licencias. Aproximadamente nueve minutos después, Apple
registró la misma dirección IP como si hubiera accedido a una cuenta de iCloud
perteneciente a Maxim Rudometov. Otras direcciones IP asociadas a las cuentas
en línea de Rudometov también interactuaron con el servidor de licencias de
RedLine, bajo los nombres de usuario «Admin12» y «testpanel».
Además, el 2 de mayo de 2021, un individuo que utilizaba una dirección IP que
terminaba en *.*.*.14 firmó un archivo malicioso a través del servidor de
licencias. Aproximadamente una hora antes, la misma dirección IP se registró
en una cuenta de iCloud de Apple perteneciente a Rudometov mientras jugaba a
un juego móvil.
La dirección IP fue asignada a un proveedor de servicios de Internet en
Krasnodar, Rusia, y luego se vinculó a una cuenta de Skype utilizada en foros
de delincuentes y para acceder a un repositorio de GitHub que contenía un
exploit conocido para dispositivos Windows. Solo en julio de 2021, esta
dirección IP
habría accedido a la cuenta de iCloud aproximadamente 701 veces.
Existen pruebas sólidas que implican a Maxim Rudometov como un individuo
importante detrás de MaaS RedLine. Su dirección IP está asociada a un
proveedor de servicios de Internet ubicado en Krasnodar, Rusia. Además, ha
estado ubicado en Luhansk, Ucrania, en algún momento de su vida.
Existe evidencia de respaldo que indica que Maxim Rudometov estaba
efectivamente en Luhansk, Ucrania, en 2021. Durante ese tiempo, obtuvo una
licencia de conducir de una escuela de manejo en Luhansk llamada «AutoLux».
En múltiples ocasiones se ha localizado a Rudometov en clubes nocturnos, bares
y restaurantes de lujo, lo que aporta información interesante sobre su estilo
de vida y su paradero. Además, se han encontrado fotografías recientes de
Maxim Rudometov, tomadas en julio de 2024.
Se puede ver la cronología de la investigación OSINT completa en
este enlace.
Los comentarios están cerrados.