Zajednička međunarodna operacija za provođenje zakona demontirala je Genesis Market, ilegalno internetsko tržište koje se specijalizovalo za prodaju ukradenih kredencijala povezanih s email-om, bankovnim računima i platformama društvenih medija.
Poklopivši se sa zapljenom infrastrukture, veliki obračun, koji je uključivao vlasti iz 17 zemalja, kulminirao je sa 119 hapšenja i 208 pretresa imovine u 13 zemalja. Međutim, čini se da .onion tržište još uvijek radi.
Vježba provođenja zakona “bez presedana” nosi kodni naziv Operacija Cookie Monster.
Genesis Market, od svog osnivanja u martu 2018. godine, evoluirao je u glavno središte za kriminalne aktivnosti, nudeći pristup podacima ukradenim sa preko 1,5 miliona kompromitovanih računara širom sveta sa ukupno više od 80 miliona kredencijala.
Većina infekcija povezanih sa malverom povezanim s Genesis Marketom otkrivena je u SAD-u, Meksiku, Njemačkoj, Turskoj, Švedskoj, Italiji, Francuskoj, Španiji, Poljskoj, Ukrajini, Saudijskoj Arabiji, Indiji, Pakistanu i Indoneziji, prema podacima koje je prikupio Trellix.
Neke od istaknutih porodica malicioznog softvera koje su korištene za kompromitovanje žrtava uključuju AZORult, Raccoon, RedLine i DanaBot, koji su svi sposobni ukrasti osjetljive informacije iz korisničkih sistema. Takođe se isporučuje putem DanaBot-a lažno proširenje za Chrome dizajnirano za sifoniranje podataka pretraživača.
“Kredencijali za pristup računu koji su oglašeni za prodaju na Genesis Market-u uključivali su one povezane s finansijskim sektorom, kritičnom infrastrukturom i federalnim, državnim i lokalnim vladinim agencijama”, navodi se u saopštenju američkog Ministarstva pravde (DoJ).
Ministarstvo pravde je Genesis Market nazvao jednim od “najplodnijih brokera za početni pristup (IAB) u svijetu kibernetičkog kriminala”. Ministarstvo financija SAD-a, u koordinisanom saopštenju, sankcionisalo je kriminalnu radnju, opisujući je kao “ključni resurs” koji koriste hakeri da ciljaju organizacije američke vlade.
Osim kredencijala, Genesis je takođe prodavao otiske prstiju uređaja, koji uključuju jedinstvene identifikatore i kolačiće pretraživača, kako bi pomogli hakerima da zaobiđu sisteme za otkrivanje prevara koje koriste mnoge web stranice.
“Kombinacija ukradenih kredencijala za pristup, otisaka prstiju i kolačića omogućila je kupcima da preuzmu identitet žrtve tako što su naveli web stranice trećih strana da pomisle da je korisnik Genesis Market-a stvarni vlasnik računa” dodaje Ministarstvo pravde.
Sudski dokumenti otkrivaju da je američki Federalni istražni biro (FBI) dobio pristup backend serverima Genesis Market-a dva puta u decembru 2020. godine i maju 2022. godine, omogućavajući agenciji pristup informacijama koje se odnose na oko 59.000 korisnika marketa kibernetičkog kriminala.
Prema Europol-u i Eurojust-u , paketi ukradenih informacija prikupljeni sa zaraženih računara, poznati kao “botovi”, prodavani su po cijeni od 0,70 dolara pa do nekoliko stotina dolara u zavisnosti od prirode podataka.
“Najskuplji bi sadržavali finansijske informacije koje bi omogućile pristup računima za online bankarstvo” napominje Europol, navodeći da su kriminalci koji su kupovali podatke dobili i dodatne alate da ih koriste bez privlačenja pažnje.
“Kupci su dobili prilagođeni pretraživač koji bi imitirao pretraživač njihove žrtve. To je omogućilo kriminalcima da pristupe nalogu svoje žrtve bez pokretanja bilo koje od sigurnosnih mjera sa platforme na kojoj je račun bio.”
Vlasnički pretraživač baziran na Chromiumu, nazvan Genesium, je višeplatformski, a održavaoci tvrde da su karakteristike kao što su “anonimno surfovanje” i druge napredne funkcionalnosti koje omogućavaju korisnicima da zaobiđu sisteme protiv prevara.
Genesis Market, za razliku od Hydre i drugih ilegalnih tržišta, takođe je bio dostupan preko Clearnet-a, čime je smanjena barijera ulaska za manje kvalifikovane hakere koji žele da dobiju digitalne identitete kako bi provalili pojedinačne naloge i sisteme kompanija.
Očekuje se da će uklanjanje imati “efekat talasanja u sivoj ekonomiji” jer hakeri traže alternative da popune prazninu koju je ostavio Genesis Market.
Hapšenja i oduzimanje domena posljednje su u dugom nizu nelegitimnih usluga koje su poremetili organi za provođenje zakona. Takođe stiže tačno godinu dana nakon demontaže Hydre, koju su njemačke vlasti srušile u aprilu 2022.g godine i stvorile “seizmičku promjenu u krajoliku darknet tržišta na ruskom jeziku”.
“Skoro godinu dana nakon Hydrinog uklanjanja, pet tržišta, Mega, Blacksprut, Solaris, Kraken i OMG!OMG! Market, pojavilo se kao najveći igrač na osnovu obima ponuda i broja prodavaca” rekao je Flashpoint u novom izvještaj.
Razvoj takođe prati lansiranje novog Dark web tržišta poznatog kao STYX koje je prvenstveno usmjereno na finansijske prevare, pranje novca i krađu identiteta. Kažu da je svoja vrata otvorio oko 19. januara 2023. godine.
“Neki primjeri specifičnih ponuda usluga koje se prodaju na STYX-u uključuju usluge isplate novca, deponije podataka, SIM kartice, DDOS, 2FA/SMS zaobilaznicu, lažne i ukradene lične dokumente, bankarski maliciozni softver i još mnogo toga” navodi Resecurity u detaljnom zapisu.
Poput Genesis Marketa, STYX takođe nudi uslužne programe koji su dizajnirani da zaobiđu rešenja protiv prevare i pristupe kompromitovanim nalozima korištenjem preciznih digitalnih identifikatora poput ukradenih datoteka kolačića, podataka fizičkog uređaja i mrežnih postavki za lažiranje legitimnih korisničkih prijava.
Pojava STYX-a kao nove platforme u komercijalnom ekosistemu kibernetičkog kriminala još je jedan znak da tržište ilegalnih usluga nastavlja biti plodonosan posao, omogućavajući hakerima da profituju od krađe kredencijala i podataka o plaćanju.
“Većina dobavljača STYX Marketplace-a specijalizovana je za usluge prevare i pranja novca koje ciljaju na popularne platforme za digitalno bankarstvo, internetska tržišta, e-trgovinu i druge aplikacije za plaćanje” napominje Resecurity. „Geografije na koje ciljaju ovi hakeri su globalne, obuhvatajući SAD, EU, Veliku Britaniju, Kanadu, Australiju i više zemalja APAC-a i Bliskog istoka.”
Izvor: The Hacker News