Security

Πάνω από 100.000 λογαριασμοί φόρουμ παραβίασης που εκτέθηκαν από κακόβουλο λογισμικό κλοπής πληροφοριών

On

Αυγ 14, 2023

Οι ερευνητές ανακάλυψαν 120.000 μολυσμένα συστήματα που περιείχαν διαπιστευτήρια για φόρουμ για το έγκλημα στον κυβερνοχώρο. Πολλοί από τους υπολογιστές ανήκουν σε χάκερ, λένε οι ερευνητές.

Αναλύοντας τα δεδομένα, οι ερευνητές απειλών διαπίστωσαν ότι οι κωδικοί πρόσβασης που χρησιμοποιούνται για τη σύνδεση σε φόρουμ πειρατείας ήταν γενικά ισχυρότεροι από εκείνους για κυβερνητικούς ιστότοπους.

Παραβιάστηκαν οι συνδέσεις χάκερ

Μετά από 100 φόρουμ για το έγκλημα στον κυβερνοχώρο, ερευνητές στην εταιρεία πληροφοριών απειλών

Ο Hudson Rock βρέθηκε

ότι ορισμένοι χάκερ είχαν μολύνει κατά λάθος τους υπολογιστές τους και τους έκλεψαν τα στοιχεία σύνδεσης.

Ο Hudson Rock λέει ότι 100.000 από τους παραβιασμένους υπολογιστές ανήκαν σε χάκερ και ο αριθμός των διαπιστευτηρίων για φόρουμ για το έγκλημα στον κυβερνοχώρο ήταν πάνω από 140.000.

Οι ερευνητές συνέλεξαν τις πληροφορίες από διαρροές που ήταν διαθέσιμες στο κοινό, καθώς και αρχεία καταγραφής πληροφοριών που προέρχονται απευθείας από φορείς απειλών.

Το Info-stealers είναι ένας τύπος κακόβουλου λογισμικού που αναζητά συγκεκριμένες τοποθεσίες στον υπολογιστή για πληροφορίες σύνδεσης. Ένας κοινός στόχος είναι τα προγράμματα περιήγησης ιστού, λόγω των δυνατοτήτων αυτόματης συμπλήρωσης και αποθήκευσης κωδικού πρόσβασης.

Ο Alon Gal, επικεφαλής τεχνολογίας στο Hudson Rock, είπε στο BleepingComputer ότι «οι χάκερ σε όλο τον κόσμο μολύνουν τους υπολογιστές ευκαιριακά προωθώντας αποτελέσματα για ψεύτικο λογισμικό ή μέσω σεμιναρίων στο

YouTube

που κατευθύνουν τα θύματα να κατεβάσουν μολυσμένο λογισμικό».

Μεταξύ αυτών που έπεσαν στο δέλεαρ ήταν άλλοι χάκερ, πιθανότατα λιγότερο εξειδικευμένοι, έτσι μολύνθηκαν όπως και κάθε άλλος ευκολόπιστος χρήστης που προσπαθούσε να κάνει μια συντόμευση.

Ο εντοπισμός των κατόχων αυτών των παραβιασμένων υπολογιστών ως χάκερ, ή τουλάχιστον ως λάτρεις των χάκερ, ήταν δυνατός με την εξέταση των δεδομένων από τα αρχεία καταγραφής πληροφοριών, τα οποία αποκάλυψαν επίσης την πραγματική ταυτότητα του ατόμου:

Πρόσθετα διαπιστευτήρια που βρέθηκαν στους υπολογιστές (πρόσθετα email, ονόματα χρήστη)
Δεδομένα αυτόματης συμπλήρωσης που περιέχουν προσωπικές πληροφορίες (ονόματα, διευθύνσεις, αριθμούς τηλεφώνου)
Πληροφορίες συστήματος (ονόματα υπολογιστών, διευθύνσεις IP)

Σε προηγούμενη ανάρτηση ιστολογίου, ο Hudson Rock

περιγράφει

πώς ένας εξέχων παράγοντας απειλών που ονομάζεται La_Citrix, γνωστός για την πώληση πρόσβασης Citrix/VPN/RDP σε εταιρείες, μόλυνα κατά λάθος τον υπολογιστή τους.

Εξετάζοντας τα δεδομένα που συλλέχθηκαν, ο Hudson Rock διαπίστωσε ότι περισσότεροι από 57.000 παραβιασμένοι χρήστες είχαν λογαριασμούς στο Nulled[.]στην κοινότητα των εκκολαπτόμενων εγκληματιών του κυβερνοχώρου.

Λογαριασμοί φόρουμ κυβερνοεγκλήματος διέρρευσαν από κλέφτες πληροφοριών — **Λογαριασμοί φόρουμ κυβερνοεγκλήματος εκτέθηκαν από κλέφτες πληροφοριών**

*πηγή: Hudson Rock*

Οι χρήστες του καταργημένου BreachForums είχαν τους ισχυρότερους κωδικούς πρόσβασης για να συνδεθούν στον ιστότοπο, διαπίστωσαν οι ερευνητές, με περισσότερο από το 40% των διαπιστευτηρίων να έχουν μήκος τουλάχιστον 10 χαρακτήρες και να περιέχουν τέσσερις τύπους χαρακτήρων.

Ισχυρότεροι κωδικοί πρόσβασης για λογαριασμούς BreachForums — **Οι χρήστες του BreachForums χρησιμοποιούσαν ισχυρότερους κωδικούς πρόσβασης**

*πηγή: Hudson Rock*

Ωστόσο, οι χάκερ χρησιμοποίησαν επίσης πολύ αδύναμους κωδικούς πρόσβασης, όπως μια σειρά από διαδοχικούς αριθμούς. Αυτό θα μπορούσε να εξηγηθεί από την έλλειψη ενδιαφέροντος για συμμετοχή στην κοινότητα.

Θα μπορούσαν να χρησιμοποιούν τον λογαριασμό απλώς για να παρακολουθούν τις συζητήσεις, να ελέγχουν ποια δεδομένα ήταν προς πώληση ή απλώς για να έχουν πρόσβαση στο φόρουμ όποτε συνέβαινε κάτι πιο σημαντικό.

Οι ερευνητές ανακάλυψαν επίσης ότι τα διαπιστευτήρια για φόρουμ για το έγκλημα στον κυβερνοχώρο ήταν γενικά ισχυρότερα από τα στοιχεία σύνδεσης για κυβερνητικούς ιστότοπους, αν και η διαφορά δεν είναι μεγάλη.

Τα αρχεία καταγραφής κλοπής πληροφοριών εμφανίζουν ισχυρότερους κωδικούς πρόσβασης για φόρουμ για εγκλήματα στον κυβερνοχώρο — **Τα αρχεία καταγραφής κλέφτη πληροφοριών είχαν ασθενέστερους κωδικούς πρόσβασης για τις κρατικές υπηρεσίες**

*πηγή; Hudson Rock*

Σύμφωνα με τον Hudson Rock, οι περισσότερες μολύνσεις προήλθαν από τρεις μόνο κλέφτες πληροφοριών, οι οποίοι είναι επίσης δημοφιλείς επιλογές με πολλούς χάκερ: RedLine, Raccoon και Azorult.

Προς το παρόν, ένας μεγάλος αριθμός αρχικών παραβιάσεων πρόσβασης ξεκινά με έναν info-stealer, ο οποίος συλλέγει όλα τα δεδομένα που χρειάζεται ένας παράγοντας απειλής για να υποδυθεί έναν νόμιμο χρήστη, που συνήθως ονομάζεται δακτυλικό αποτύπωμα συστήματος.

bleepingcomputer.com