‘2easy’ adlı karanlık web pazarı, bilgi çalan kötü amaçlı yazılım bulaşmış yaklaşık 600.000 cihazdan toplanan çalınan veri “Günlüklerin” satışında önemli bir oyuncu haline geliyor.
“Günlükler”, güvenliği ihlal edilmiş web tarayıcılarından veya kötü amaçlı yazılım kullanan sistemlerden çalınan verilerin arşivleridir ve bunların en önemli yönü, genellikle hesap kimlik bilgilerini, çerezleri ve kayıtlı kredi kartlarını içermeleridir.
2easy 2018’de piyasaya sürüldü ve geçen yıldan bu yana yalnızca 28.000 virüslü cihazdan veri sattığından ve küçük bir oyuncu olarak kabul edildiğinden bu yana hızlı bir büyüme yaşadı.
İsrailli karanlık ağ istihbarat firması KELA’daki araştırmacılar tarafından yapılan bir analize dayanarak, ani büyüme, pazarın platform gelişimine ve siber suç topluluğunda olumlu eleştirilerle sonuçlanan tekliflerin tutarlı kalitesine bağlanıyor.
Ucuz ve geçerli günlükler
Piyasa tamamen otomatiktir, yani birisi bir hesap oluşturabilir, cüzdanlarına para ekleyebilir ve satıcılarla doğrudan etkileşime girmeden alışveriş yapabilir.
Günlükler, öğe başına 5 ABD doları gibi düşük bir fiyatla satın alınabilir hale getirilir, bu da günlük satış fiyatından kabaca beş kat daha azdır. ortalama Genesis fiyatları ve Rusya Pazarındaki bot günlüklerinin ortalama maliyetinden üç kat daha az.
Ayrıca, birden fazla karanlık web forumundan alınan aktör geri bildirim analizine dayalı olarak, 2easy günlükleri sürekli olarak birçok kuruluşa ağ erişimi sağlayan geçerli kimlik bilgileri sunar.
Maliyet ve geçerliliğin yanı sıra, 2easy’nin GUI’si kullanıcı dostu ve aynı zamanda güçlüdür ve oyuncuların sitede aşağıdaki işlevleri yerine getirmelerini sağlar:
- virüslü makinelerin giriş yaptığı tüm URL’leri görüntüleyin
- ilgilenilen arama URL’leri
- söz konusu web sitesine ait kimlik bilgilerinin çalındığı virüslü makinelerin listesine göz atın.
- satıcının puanını kontrol edin
- çoğu zaman makineye virüs bulaştığı tarihi ve bazen satıcıdan ek notlar içeren satıcılar tarafından atanan etiketleri gözden geçirin
- seçilen hedeflere kimlik bilgilerini almak
Diğer platformlara kıyasla tek dezavantajı, 2easy’nin potansiyel alıcılara satılan bir öğenin önizlemesini, örneğin verilerin çalındığı cihazın yeniden düzenlenmiş IP adresi veya işletim sistemi sürümü gibi vermemesidir.
RedLine vebası
2easy’de satın alınan her öğe, seçilen bottan çalınan günlükleri içeren bir arşiv dosyasında gelir.
İçerik türü, her türün farklı bir odak kümesine sahip olduğundan, iş için kullanılan bilgi çalan kötü amaçlı yazılıma ve yeteneklerine bağlıdır.
Ancak, vakaların %50’sinde satıcılar Kırmızı cizgi Şifreleri, tanımlama bilgilerini, web tarayıcılarında saklanan kredi kartlarını, FTP kimlik bilgilerini ve aşağıda gösterildiği gibi daha fazlasını çalabilen, seçtikleri kötü amaçlı yazılım olarak.
2easy’de aktif olan 18 satıcıdan beşi yalnızca RedLine’ı kullanırken, diğer dördü onu aşağıdaki gibi diğer kötü amaçlı yazılım türleri ile birlikte kullanıyor: rakun hırsızı, Vidar, ve AZORult.
bu neden önemli
Kimlik bilgilerini içeren günlükler, bu kapılar ister çevrimiçi hesaplarınıza, ister finansal bilgilere, hatta kurumsal ağlara girişe götürsün, esasen kapıların anahtarıdır.
Tehdit aktörleri bu bilgiyi parça başına 5 ABD doları gibi düşük bir fiyata satarlar, ancak güvenliği ihlal edilen varlıklara verilen zarar milyonlarla sayılabilir.
“Böyle bir örnek, Haziran 2021’de ortaya çıkan Electronic Arts saldırısıyla gözlemlenebilir” diye açıklıyor. KELA’nın raporu
“Saldırının, çevrimiçi olarak yalnızca 10 dolara satılan çalıntı çerezleri satın alan bilgisayar korsanları ile başladığı ve bilgisayar korsanlarının EA tarafından kullanılan bir Slack kanalına erişmek için bu kimlik bilgilerini kullanmasıyla devam ettiği bildirildi.”
“Slack kanalına girdikten sonra, bu bilgisayar korsanları EA çalışanlarından birini çok faktörlü bir kimlik doğrulama belirteci sağlamak için başarılı bir şekilde kandırdı ve bu da onların EA oyunları için birden çok kaynak kodunu çalmalarını sağladı.”
2easy gibi log pazaryerleri aynı ekosistemin bir parçasıyken, ilk erişim komisyoncusu pazarı yükselişte ve felaketle sonuçlanan fidye yazılımı enfeksiyonlarıyla doğrudan bağlantılı.
Milyonlarca hesap kimlik bilgileri karanlık ağda satın alınmak üzere sunulur, bu nedenle hesapları potansiyel olarak tehlikeye atılmış olarak değerlendiren uygun güvenlik önlemleri gereklidir.
Bu önlemlerin örnekleri arasında çok faktörlü kimlik doğrulama adımları, sık parola döndürme ve tüm kullanıcılar için en az ayrıcalık ilkesinin uygulanması yer alır.