La clandestinidad criminal está plagada de mercados: los atacantes interesados en malware, datos financieros y de atención médica robados o herramientas de piratería no tienen que buscar mucho para encontrar un vendedor dispuesto. A medida que los adversarios confían cada vez más en contraseñas robadas o credenciales de inicio de sesión comprometidas para llevar a cabo sus ataques cibernéticos, muchos compran en mercados de bots, empresas de análisis de seguridad Cognyte dice en un nuevo informe.
Los mercados de bots son tiendas automatizadas que venden credenciales de inicio de sesión robadas, y Cognyte identificó cuatro de los mercados de bots más activos en 2021: 2easy, Amigos, Genesis y Russian Market. De los casi 5.3 millones de credenciales de inicio de sesión robadas entre 2019 y 2021 que Cognyte analizó como parte de su investigación, el 73 % se recopiló en 2021, dice Cognyte. La mayoría de las credenciales de inicio de sesión que se ofrecieron a la venta en 2021 se encontraban en el mercado ruso, con un 71 %.
Según los informes, la violación de datos del año pasado en el editor de videojuegos Electronic Arts, que expuso datos confidenciales y el código fuente del videojuego FIFA 21, fue el resultado de que un atacante compró el acceso al entorno Slack interno de la compañía de Genesis Market. Según los informes, el atacante gastó $ 10 por una credencial de Slack y, una vez dentro, convenció a la TI corporativa para que otorgara acceso al resto de la red interna. En la investigación de Cognyte, Genesis Market representó solo el 5 % de las credenciales de inicio de sesión que se vendieron en los mercados de bots en 2021.
Genesis vendió de 20,000 30,000 a 2020 2021 credenciales de inicio de sesión cada mes durante la mayor parte de 2020 y 52,004; su punto máximo fue en enero de XNUMX, cuando se ofrecieron a la venta XNUMX XNUMX registros.
Los ladrones de información suministran los productos robados en estos mercados de bots, dice Cognyte. Los ladrones de información son malware diseñado para recopilar información específica del sistema infectado, como nombre de usuario y contraseñas del sistema, credenciales utilizadas para acceder a aplicaciones, información de inicio de sesión para sitios web, detalles de tarjetas de pago y billeteras de criptomonedas. Algunos ladrones de información pueden recopilar información de huellas dactilares sobre el sistema comprometido, como el tipo de aplicaciones de hardware y software instaladas, la dirección IP y los ajustes de configuración, que el atacante puede usar para hacerse pasar por el sistema comprometido.
No todos los mercados exponen qué ladrones están detrás de las credenciales de inicio de sesión disponibles para la venta, pero el análisis de Cognyte destaca los cinco más activos: AZORult, Racoon, Redline, Taurus y Vidar. Estos ladrones de información se venden en foros criminales y están disponibles a precios que van desde unos pocos dólares hasta cientos de dólares. Algunos incluso ofrecen un modelo de suscripción.
El uso de los ladrones de información varió a lo largo del año, dice Cognyte. A principios de 2021, Vidar era el infostealer más utilizado, seguido de Taurus. Racoon se utilizó principalmente en marzo de 2021, con 152,508 2021 registros. Redline se volvió más utilizado en abril y ha mantenido su estatus como el ladrón de información más utilizado. En 32, Redline proporcionó el XNUMX % de las credenciales de inicio de sesión analizadas.
“Debido a la accesibilidad y confiabilidad del malware, creemos que lo seguiremos viendo como una fuente principal en los mercados de bots en el futuro”, dicen los investigadores.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Fuente: https://www.darkreading.com/edge-threat-monitor/bot-marketplaces-as-the-source-of-future-data-breaches
