# Operation Magnus 2024 - Takedown RedLine e MetaStealer > [!success] Maior operação policial contra infostealers da história - RedLine e MetaStealer desmantelados > Em 28 de outubro de 2024, uma operação policial internacional coordenada pela Polícia Nacional da Holanda (Politie), com apoio do FBI e de autoridades da Bélgica, Portugal, Reino Unido e Austrália, desmantelou a infraestrutura dos infostealers RedLine e MetaStealer - dois dos mais prolíficos ladroesde credenciais do mundo. O Departamento de Justiça dos EUA indiciou Maxim Rudometov, cidadão russo, como desenvolvedor e operador do RedLine. ## Visão Geral A Operation Magnus representa um golpe significativo contra o ecossistema de infostealers - malware projetado específicamente para roubar credenciais, cookies de sessão, dados de cartões de crédito e carteiras de criptomoedas de sistemas comprometidos. O [[s1240-redline-stealer|RedLine]] e o MetaStealer eram dois dos infostealers mais amplamente distribuídos no mercado clandestino, vendidos como **Malware-as-a-Service (MaaS)** por assinatura mensal a centenas de clientes criminosos. O RedLine, em particular, era onipresente: em atividade desde 2020, era distribuído via campanhas de phishing, instaladores falsos de software, anúncios maliciosos (malvertising) e via YouTube como descrições de vídeos com links para "software pirata". Seu catálogo de funcionalidades incluía roubo de credenciais de mais de 50 navegadores, carteiras de criptomoedas, clientes FTP/VPN, sessões de Steam, Discord e Telegram, além de keylogging seletivo. Os dados roubados eram vendidos em marketplaces como Russian Market e 2easy, onde credenciais eram compradas por outros grupos criminosos para uso em ataques BEC, fraude financeira e campanhas de ransomware. A operação foi notável por sua coordenação: as autoridades holandesas obtiveram acesso ao servidor de backend do RedLine, mapearam toda a infraestrutura e confiscaram 1.200+ servidores em mais de 10 países. O DOJ dos EUA usou dados obtidos da infraestrutura para identificar e indiciar **Maxim Rudometov**, de Novosibirsk (Rússia), como desenvolvedor e administrador do RedLine - um dos poucos casos de identificação bem-sucedida de um operador de MaaS infostealer. O impacto imediato foi a interrupção dos painéis de controle usados por centenas de afiliados do RedLine e MetaStealer simultaneamente, juntamente com a notificação de vítimas via Have I Been Pwned e parceiros do setor. ## Attack Flow (como o RedLine operava) ```mermaid graph TB A["Distribuição MaaS<br/>Afiliados compram acesso<br/>via assinatura mensal"] --> B["Infecção de vítimas<br/>Phishing, malvertising<br/>software pirata falso"] B --> C["Coleta de credenciais<br/>50+ navegadores, carteiras cripto<br/>FTP, VPN, Steam, Discord"] C --> D["Dados enviados ao C2<br/>Dashboard do afiliado<br/>Logs organizados por vítima"] D --> E["Venda de logs<br/>Russian Market, 2easy<br/>Credenciais por US$ 5-50"] E --> F["Uso por outros criminosos<br/>BEC, fraude, ransomware<br/>ATO em bancos"] F --> G["Politie takedown<br/>1.200+ servidores confiscados<br/>Rudometov indiciado nos EUA"] ``` ## Cronologia | Data | Evento | |------|--------| | 2020 | RedLine surge como MaaS infostealer no mercado clandestino | | 2021-2023 | RedLine se torna um dos infostealers mais amplamente distribuídos do mundo | | 2024-10-28 | Operation Magnus executada - Politie derruba infraestrutura RedLine e MetaStealer | | 2024-10-28 | DOJ EUA indicia Maxim Rudometov de Novosibirsk como desenvolvedor do RedLine | | 2024-10-28 | 1.200+ servidores confiscados em múltiplos países | | 2024-10 | Have I Been Pwned e parceiros notificam vítimas identificadas | | 2025-04 | Europol anuncia prisões adicionais de afiliados identificados nos dados confiscados | ## TTPs Utilizadas (pelo RedLine/MetaStealer como ferramentas) | Técnica | ID | Descrição | |---------|-----|-----------| | Botnet | [[t1584-005-botnet\|T1584.005]] | Infraestrutura distribuída de C2 para gerenciar centenas de afiliados | | Keylogging | [[t1056-001-keylogging\|T1056.001]] | Captura de pressionamentos de teclas para credenciais não salvas | | Credentials from Web Browsers | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Extração de senhas, cookies e dados de 50+ navegadores | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Logs de credenciais enviados automaticamente ao painel do afiliado | ## Impacto **Escala da infraestrutura desmantelada:** - 1.200+ servidores de C2 e suporte confiscados em 10+ países - Dados de milhões de vítimas globais acessados pelos investigadores - Centenas de afiliados do RedLine e MetaStealer identificados nos logs **Impacto operacional:** - Interrupção simultânea de painéis de controle de centenas de afiliados em todo o mundo - Primeira indiciação nos EUA de um desenvolvedor de infostealer MaaS identificado pelo nome - Dados confiscados usados para identificação de afiliados e vítimas nas fases seguintes da operação **Relevância estratégica:** - O RedLine era um dos principais fornecedores de credenciais iniciais para grupos de ransomware - Dados do RedLine alimentavam marketplaces que distribuíam credenciais para ataques BEC e fraude bancária globalmente ## Relevância LATAM e Brasil O RedLine e MetaStealer tiveram presença documentada no Brasil: - Credenciais de usuários brasileiros foram regularmente encontradas em logs do RedLine vendidos em Russian Market e Genesis Market - O [[financial|setor financeiro brasileiro]] e empresas de [[technology|tecnologia]] foram afetados por BEC e Account Takeover baseados em credenciais roubadas pelo RedLine - Afiliados brasileiros do RedLine foram identificados entre os usuários dos painéis de controle, conforme dados forenses da operação - A Operation Magnus reduziu diretamente a capacidade de grupos criminosos brasileiros que usavam credenciais do RedLine para ataques de acesso inicial ## Mitigação **Controles para usuários finais e corporativos:** - Não usar gerenciadores de senhas de navegadores para credenciais corporativas críticas - usar gerenciadores de senhas dedicados - Implementar rotação periódica de credenciais e inválidação de sessões em sistemas críticos - Monitorar dark web para aparecimento de credenciais corporativas em marketplaces de logs **Controles estratégicos:** - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA para todas as contas corporativas (mitiga impacto de roubo de credenciais) - Aplicar [[m1049-antivirus-antimalware|M1049]] - EDR com detecção de infostealers e comportamento de dump de credenciais - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso anômalo a arquivos de armazenamento de credenciais de navegadores ## Referências - [1](https://www.politie.nl/en/news/2024/october/28/11-operation-magnus-disrupts-redline-and-meta-infostealer-operations.html) Politie Holanda - Operation Magnus Disrupts RedLine and Meta (2024) - [2](https://www.justice.gov/opa/pr/developer-and-operator-redline-infostealer-malware-indicted) DOJ EUA - Developer of RedLine Infostealer Malware Indicted (2024) - [3](https://www.bleepingcomputer.com/news/security/operation-magnus-disrupts-redline-meta-infostealer-operations/) BleepingComputer - Operation Magnus Disrupts RedLine Meta (2024) - [4](https://www.europol.europa.eu/media-press/newsroom/news/operation-magnus-global-action-against-infostealers) Europol - Operation Magnus: Global Action Against Infostealers (2024) - [5](https://www.welivesecurity.com/en/eset-research/operation-magnus-redline-meta-infostealer-takedown/) ESET - Operation Magnus RedLine Meta Infostealer Takedown (2024)