Een Armeense man is uitgeleverd aan de Verenigde Staten en verscheen dinsdag voor de federale rechtbank in Austin. Hij wordt ervan verdacht een hoofdontwikkelaar te zijn van RedLine, een van de meest gebruikte infostealer malwarevarianten wereldwijd. Hambardzum Minasyan kan tot 30 jaar gevangenisstraf krijgen nadat het Amerikaanse ministerie van Justitie zijn arrestatie en uitlevering had geregeld.

Minasyan werd aangeklaagd voor samenzwering tot het plegen van fraude met toegangsmiddelen, samenzwering tot het overtreden van de Computer Fraud and Abuse Act en samenzwering tot het witwassen van geld. Voor de eerste aanklacht staat maximaal tien jaar gevangenisstraf, voor de overige twee maximaal twintig jaar. Volgens de aanklagers werkte Minasyan samen met anderen om de digitale infrastructuur van RedLine te onderhouden, waaronder beheerderspanelen en servers waarmee affiliates de malware op systemen van slachtoffers konden installeren. Daarnaast verzamelde hij betalingen van affiliates, verleende hij klantenservice aan hackers en coördineerde hij de diefstal van financiële gegevens. Ook zou hij zijn opbrengsten witgewassen hebben via cryptovalutabeurzen.

Minasyan registreerde servers en internetdomeinen die deel uitmaakten van de RedLine infrastructuur en creëerde repositories om de malware te verspreiden onder andere hackers. Zijn uitlevering volgt op een actie in oktober 2024 waarbij de infrastructuur van RedLine werd opgerold door het Amerikaanse ministerie van Justitie en opsporingsdiensten in Nederland, België en andere landen. Tegelijkertijd werden aanklachten ingediend tegen Maxim Rudometov, een andere ontwikkelaar en beheerder van RedLine, die naar verluidt in Krasnodar, Rusland woont.

RedLine werd sinds maart 2020 op diverse underground hackingforums verkocht. Met deze malware konden hackers inloggegevens stelen uit webbrowsers, FTP-clients, e-mailprogramma’s, instant messaging-apps en VPN’s, die vervolgens op de zwarte markt werden verhandeld. Cybersecurity-experts meldden dat de malware in duizenden aanvallen in meer dan 150 landen werd ingezet. RedLine gaf aanvallers toegang tot systeeminformatie zoals gebruikersnamen, hardwaregegevens, geïnstalleerde browsers en antivirussoftware, waarna wachtwoorden, creditcardgegevens, cryptowallets en VPN-inloggegevens werden buitgemaakt en naar een command & control-server werden gestuurd.

In november legden Amerikaanse autoriteiten sancties op aan een Russische bulletproof hostingprovider die diensten verleende aan de ontwikkelaars van RedLine. Onderzoekers ontdekten dat het merendeel van de gestolen inloggegevens die op twee darkwebmarkten worden verkocht, afkomstig is van de RedLine malware.