Filtración de datos en foros de ciberdelincuencia

Desde principios de este año, un actor de amenazas desconocido ha estado atacando foros de ciberdelincuencia y filtrando datos de usuarios públicamente u ofreciéndolos a la venta. Al menos cuatro de estos foros han sido violados hasta la fecha, a saber, Verified en enero, Crdclub en febrero y Exploit y Maza en marzo. Todos son foros […]

Desde principios de este año, un actor de amenazas desconocido ha estado atacando foros de ciberdelincuencia y filtrando datos de usuarios públicamente u ofreciéndolos a la venta.

Al menos cuatro de estos foros han sido violados hasta la fecha, a saber, Verified en enero, Crdclub en febrero y Exploit y Maza en marzo. Todos son foros predominantemente en idioma ruso y sus infracciones se divulgaron públicamente en otros lugares.

La firma de inteligencia Intel 471, que ha estado siguiendo de cerca los ataques, dice que, si bien se desconoce la identidad del actor detrás de los ataques, la naturaleza pública de los ataques elimina la posibilidad de una operación policial.

En enero, un actor de amenazas anunció en el foro clandestino Raid Forums que violaron Verified, un foro de ciberdelincuencia en ruso establecido. El adversario dijo que tenían toda la base de datos de Verified, que contenía detalles sobre todos los usuarios registrados, incluidos mensajes privados, publicaciones, hilos y contraseñas hash.

El hacker, que aparentemente pudo transferir US$150,000 en criptomonedas de la billetera de Verified, estaba ofreciendo la base de datos por US$100,000.

En febrero, la cuenta de administrador del foro de delitos cibernéticos Crdclub fue pirateada, lo que permitió al actor de amenazas detrás del compromiso atraer a los clientes del foro para que usaran un servicio de transferencia de dinero fraudulento y desviar una cantidad desconocida de dinero del foro.

Esta semana, los foros clandestinos de Exploit y Maza fueron pirateados. El atacante aparentemente obtuvo acceso de shell seguro (SSH) a un servidor proxy Exploit destinado a la protección de denegación de servicio distribuida (DDoS), y también intentó volcar el tráfico de red.

“Los usuarios en el foro Exploit están discutiendo dejar de usar correos electrónicos para registrarse en foros, ya que los recientes esfuerzos de interrupción pueden haber aumentado la exposición de sus actividades en línea. Otros afirman que la base de datos filtrada por los atacantes es antigua o está incompleta ”, señala la empresa de inteligencia de amenazas Flashpoint .

Maza, un foro de ciberdelincuencia activo desde 2003, estaba mostrando una notificación de violación de datos el 3 de marzo, probablemente obra del pirata informático que logró hacerse cargo del foro.

Captura de pantalla de la advertencia de incumplimiento de Maza publicada por atacantes desconocidos

Un archivo PDF que acompañaba al anuncio contenía más de 3000 filas, incluidos nombres de usuario, direcciones de correo electrónico, varios detalles de contacto y hashes de contraseña parcialmente ofuscados.

“Nuestro análisis inicial encontró que una parte de los datos filtrados se correlacionaba con los hallazgos de nuestra investigación anterior, lo que confirma que al menos algunas de las bases de datos de Maza fueron violadas”, dijo Intel 471.

Hasta la fecha, nadie parece haberse atribuido la responsabilidad de las infracciones, pero las acciones del perpetrador podrían proporcionar a los investigadores de seguridad una mayor visibilidad sobre quién está utilizando estos foros de delitos cibernéticos.