Security

Μια περιήγηση στο νέο υπόγειο του Ηλεκτρονικού Εγκλήματος

On

Ιούν 21, 2023

Ο κόσμος του εγκλήματος στον κυβερνοχώρο κινείται γρήγορα.

Ηθοποιοί απειλών

,

συμμορίες ransomware

οι προγραμματιστές κακόβουλου λογισμικού και άλλοι μετακινούνται όλο και πιο γρήγορα από τον “παραδοσιακό” σκοτεινό ιστό (ιστοσελίδες Tor) και

παράνομα κανάλια Telegram

με εξειδίκευση στο έγκλημα στον κυβερνοχώρο.

Αυτό

Φωτοβολίδα

Το άρθρο θα εξετάσει τους λόγους για τους οποίους οι φορείς απειλής μετατοπίζονται από το Tor και θα παρέχει λεπτομερείς οδηγίες για βέλτιστες πρακτικές στην παρακολούθηση καναλιών

Telegram

.

Γιατί οι ηθοποιοί απειλών μετακινούνται από το Tor στο Telegram;

Σήμερα βλέπουμε την πλειονότητα της δραστηριότητας του εγκλήματος στον κυβερνοχώρο να λαμβάνει χώρα εκτός του παραδοσιακού σκοτεινού ιστού και σε σύγχρονες εφαρμογές μέσων κοινωνικής δικτύωσης.

Υπάρχουν πολλοί λόγοι για την αλλαγή, συμπεριλαμβανομένης της εμπορευματοποίησης του εγκλήματος στον κυβερνοχώρο, της αύξησης του ελέγχου επιβολής του νόμου στους ιστότοπους Tor και της γενικής βραδύτητας του Tor. Θα καλύψουμε το καθένα με τη σειρά.

Έλλειψη Exit Scams

Ένα από τα μεγαλύτερα θετικά και αρνητικά του παραδοσιακού

αγορές του σκοτεινού Ιστού

είναι ότι η αγορά λειτουργεί ως γραφείο συμψηφισμού.

Συνήθως, υπάρχει αναστολή 14 ημερών σε συναλλαγές στις οποίες η αγορά διατηρεί κρυπτονομίσματα και στις οποίες ο αγοραστής μπορεί να ζητήσει προσφυγή σε περίπτωση απάτης.

Η πρόκληση είναι ότι σε πολλές περιπτώσεις οι ιδιοκτήτες αγορών μπορεί να κρατούν εκατομμύρια δολάρια σε κρυπτογράφηση ανά πάσα στιγμή, δημιουργώντας ένα ισχυρό κίνητρο για έξοδο από την απάτη και κλοπή των χρημάτων που κρατούν.

Παροχές των σύγχρονων μέσων κοινωνικής δικτύωσης

Σε σύγκριση με τους ιστότοπους Tor, το Telegram έχει ένα πλεονέκτημα στους εξής τομείς:

Τηλεγράφημα

είναι γρήγορο και έχει πολλές από τις ανέσεις που έχουν οι σύγχρονες εφαρμογές μέσων κοινωνικής δικτύωσης, όπως emoji, άμεσες ιδιωτικές συνομιλίες, μια εφαρμογή τηλεφώνου και άλλες χρήσιμες
Το επίπεδο τεχνικής επάρκειας για την εύρεση καναλιών εγκλήματος στον κυβερνοχώρο και την επιτυχή πραγματοποίηση αγορών είναι ακόμη χαμηλότερο από το Tor, δημιουργώντας έναν εκδημοκρατισμό των δεδομένων εγκλήματος στον κυβερνοχώρο
Υπάρχουν πολλά κανάλια που παρέχουν δωρεάν “δείγματα” διαπιστευτηρίων, αρχεία καταγραφής κλέφτη, δεδομένα από παραβιάσεις και άλλα δεδομένα που μπορούν να παρέχουν έναν εύκολο τρόπο στους χρήστες να “επικυρώσουν” την αποτελεσματικότητα των προσφορών προμηθευτών

Αντιληπτή ανωνυμία

Δεν είναι μυστικό ότι οι αγορές Tor, τα φόρουμ και οι ιστότοποι παρακολουθούνται σε μεγάλο βαθμό από οργανώσεις επιβολής του νόμου. Οι χρήστες γνωρίζουν ότι όταν κάνουν μια ανάρτηση στο φόρουμ ή μια καταχώριση στην αγορά θα είναι πιθανώς ορατές από ομάδες ασφαλείας επιχειρήσεων, δεκάδες υπηρεσίες επιβολής του νόμου και πολλούς άλλους.

Αντίθετα, το Telegram παρέχει αντιληπτή ανωνυμία δεδομένων των χιλιάδων καναλιών που ειδικεύονται στο έγκλημα στον κυβερνοχώρο, της έλλειψης παρακολούθησης IP που είναι διαθέσιμη σε επαγγελματίες ασφαλείας και LE και της φαινομενικά εφήμερης φύσης των μηνυμάτων.

Τύποι καναλιών Telegram για εγκλήματα στον κυβερνοχώρο

Σε σύγκριση με παλαιού τύπου αγορές σκοτεινού ιστού, τα κανάλια Telegram τείνουν να ειδικεύονται σε έναν συγκεκριμένο τύπο εγκληματικής δραστηριότητας. Μια αγορά σκοτεινού Ιστού μπορεί να προσφέρει σε έναν εγκληματία τη δυνατότητα να αγοράσει ναρκωτικά, όπλα, αριθμούς πιστωτικών καρτών, κομβολιστές και δεκάδες άλλα παράνομα αγαθά.

Τα κανάλια Telegram με σύμβαση λειτουργούν ως ένα ενιαίο κατάστημα για έναν μόνο τύπο αγαθών και μπορούν να ταξινομηθούν με βάση αυτό που προσφέρουν.

Οι ακόλουθες κατηγορίες που έχουμε εντοπίσει δεν είναι εξαντλητικές:

Κατανομή ημερολογίου κλέφτη

κούτσουρα κλέφτη

αντιπροσωπεύουν δεδομένα από συσκευές που έχουν μολυνθεί με κακόβουλο λογισμικό infostealer. Συνήθως περιλαμβάνουν το δακτυλικό αποτύπωμα του προγράμματος περιήγησης, τους αποθηκευμένους κωδικούς πρόσβασης στο πρόγραμμα περιήγησης, τα δεδομένα του προχείρου, τα δεδομένα πιστωτικής κάρτας που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, πληροφορίες πορτοφολιού κρυπτονομισμάτων και σχετικές πληροφορίες.

Ένα μεμονωμένο αρχείο καταγραφής ›αντιπροσωπεύει δεδομένα από έναν υπολογιστή. Τα κανάλια καταγραφής κλοπής στο Telegram διατίθενται σε δύο τύπους:

Άνοιγμα καναλιών καταγραφής κλεφτή πρόσβασης

Αυτά τα κανάλια διανέμουν τακτικά αρχεία μεγέθους megabyte-

gigabyte

που περιέχουν εκατοντάδες, χιλιάδες ή σε ορισμένες περιπτώσεις εκατοντάδες χιλιάδες μεμονωμένα αρχεία καταγραφής κλέφτη.

Αυτά μπορούν να θεωρηθούν ως μια εκτεταμένη διαφήμιση για ιδιωτικά, προσκλήσεις μόνο για κανάλια καταγραφής και ως ένας τρόπος για τους προμηθευτές να αποδείξουν ότι τα αρχεία καταγραφής που παρέχουν είναι υψηλής ποιότητας και περιέχουν πολύτιμα διαπιστευτήρια.

Κανάλια καταγραφής VIP Stealer

Τα κανάλια καταγραφής κλοπής VIP παρέχουν πρόσβαση σε περιορισμένο αριθμό παραγόντων απειλών σε αρχεία καταγραφής “premium” τα οποία υποτίθεται ότι προέρχονται απευθείας από την πηγή και δεν έχουν επηρεαστεί από άλλους παράγοντες απειλής. Συνήθως η τιμή για την πρόσβαση σε αυτά τα κανάλια κυμαίνεται από 200-400 $ το μήνα που καταβάλλεται σε Monero.

Υποψιαζόμαστε ότι πολλοί μεσίτες αρχικής πρόσβασης περνούν από αρχεία καταγραφής που δημοσιεύονται σε αυτά τα κανάλια για να εντοπίσουν συγκεκριμένα αρχεία καταγραφής που έχουν εταιρική πρόσβαση, να επικυρώσουν την πρόσβαση και στη συνέχεια να μεταπωλήσουν την πρόσβαση σε φόρουμ κορυφαίας βαθμίδας εγκλήματος στον κυβερνοχώρο, όπως το Exploit ή το XSS.

Οικονομική Απάτη

Ένας άλλος τύπος καναλιών που βλέπουμε συνήθως είναι τα κανάλια οικονομικής απάτης στα οποία παρέχονται μαζικά πληροφορίες τραπεζικού λογαριασμού, πιστωτικής κάρτας και επιστροφής χρημάτων. Αυτά τα κανάλια συνήθως υποεξειδικεύονται στο συγκεκριμένο «τύπο» εγκληματικότητας για παράδειγμα.

Αριθμοί πιστωτικών καρτών
Τραπεζικοί λογαριασμοί
Οδηγοί επιστροφής χρημάτων
Εναλλαγή SIM
Απάτη με δωροκάρτα

Ένας άλλος κοινός και κρίσιμος τύπος καναλιών για παρακολούθηση είναι τα κανάλια που παρέχουν κομβολιστές.

Κομβολιστές

είναι «επιμελημένες» λίστες με κλεμμένα ονόματα χρήστη και κωδικούς πρόσβασης, μερικές φορές συνοδεύονται από ονόματα, email και άλλες πληροφορίες αναγνώρισης που χρησιμοποιούν οι εγκληματίες για να επιχειρήσουν επιθέσεις κατάληψης λογαριασμού.

Τα Combolists μπορούν να δημιουργηθούν με βάση τη γεωγραφία, τη βιομηχανία, την πρόσβαση σε λογαριασμό και άλλα χαρακτηριστικά που τα καθιστούν υψηλής αξίας για τους παράγοντες απειλών.

Σε πολλές περιπτώσεις τα ονόματα χρήστη, τα email και οι κωδικοί πρόσβασης επικολλούνται απευθείας στη συνομιλία του Telegram. Σε άλλες περιπτώσεις, οι φορείς απειλών ενδέχεται να παρέχουν αρχεία που περιέχουν χιλιάδες ή δεκάδες χιλιάδες σημεία δεδομένων (και συχνά συνοδεύονται από κακόβουλο λογισμικό).

Χακτιβισμός Εθνικού Κράτους

Η τελευταία κατηγορία καναλιών που είναι ιδιαίτερα σημαντική για τις ομάδες κυβερνοασφάλειας είναι τα κανάλια χάκτιβιστων εθνικών κρατών. Κανάλια όπως το Bloodnet, το Killnet, το Noname47, το Anonymous Sudan και άλλα έχουν εκραγεί σε δημοτικότητα, ιδιαίτερα από την αρχή του πολέμου στην Ουκρανία.

Αυτά τα κανάλια συνήθως επιλέγουν συγκεκριμένους στόχους, συχνά κρίσιμες υποδομές σε χώρες του ΝΑΤΟ και προσπαθούν να παραβιάσουν ιστότοπους, ζωτικής σημασίας υπηρεσίες

DDoS

και διαρροή δεδομένων από εταιρείες.

Ανησυχείτε για το Telegram; Το Flare μπορεί να βοηθήσει

Πλατφόρμα Διαχείρισης έκθεσης σε απειλές του Flare

στήνεται σε 30 λεπτά και

παρακολουθεί απρόσκοπτα τον καθαρό και σκοτεινό ιστό για απειλές

. Εισάγουμε περισσότερα από ένα εκατομμύριο αρχεία καταγραφής κλέφτη την εβδομάδα, παρακολουθούμε εκατοντάδες αγορές και φόρουμ στο Tor και επίσης εντοπίζουμε απειλές σε χιλιάδες παράνομα κανάλια Telegram.

Επιπλέον, το Flare εντοπίζει αυτόματα την έκθεση λόγω ανθρώπινου λάθους, όπως τα κλειδιά και τα διαπιστευτήρια API που διέρρευσαν στο GitHub, η έκθεση δεδομένων στο pastebin και άλλες σαφείς πηγές κινδύνου στον ιστό.

Εγγραφείτε δωρεάν

Δοκιμαστική σε 5 λεπτά

.

Χορηγός και γραμμένος από

Φωτοβολίδα

bleepingcomputer.com