2easy es ahora un importante mercado web oscuro para datos robados

Un mercado de la web oscura llamado "2easy" se está convirtiendo en un actor importante en la venta de "registros" de datos robados recopilados de unos 600.000 dispositivos infectados con malware que roban información.

Los "registros" son repositorios de datos robados de navegadores web o sistemas comprometidos que utilizan malware y su aspecto más importante es que normalmente incluyen credenciales de cuenta, cookies y tarjetas de crédito guardadas.

2easy se lanzó en 2018 y ha experimentado un rápido crecimiento desde el año pasado, cuando solo vendía datos de 28,000 dispositivos infectados y se consideraba un jugador menor.

Según un análisis de investigadores de la firma israelí de inteligencia de la web oscura KELA, el crecimiento repentino se atribuye al desarrollo de la plataforma del mercado y a la calidad constante de las ofertas que han dado lugar a críticas favorables en la comunidad de delitos cibernéticos.

→ Índice de contenidos

Registros económicos y válidos

El mercado está completamente automatizado, lo que significa que alguien puede crear una cuenta, agregar dinero a sus billeteras y realizar compras sin interactuar directamente con los vendedores.

Los registros están disponibles para su compra a partir de $ 5 por artículo, aproximadamente cinco veces menos que el precio promedio de Genesis y tres veces menos que el costo promedio de los registros de bots en el mercado ruso.

Además, basándose en el análisis de los comentarios de los actores de múltiples foros de la web oscura, los registros de 2easy ofrecen credenciales válidas que brindan acceso a la red a muchas organizaciones.

La página de inicio de 2easy vista en diciembre de 2021
La página de inicio de 2easy vista en diciembre de 2021
Fuente: KELA

Además del costo y la validez, la GUI de 2easy es fácil de usar y poderosa al mismo tiempo, lo que permite a los actores realizar las siguientes funciones en el sitio:

  • ver todas las URL a las que acceden las máquinas infectadas
  • URL de búsqueda de interés
  • navegar por una lista de máquinas infectadas de las que se han robado las credenciales de dicho sitio web.
  • comprobar la calificación del vendedor
  • Revise las etiquetas asignadas por el proveedor, que la mayoría de las veces incluyen la fecha en que se infectó la máquina y, a veces, notas adicionales del proveedor.
  • adquirir credenciales para objetivos seleccionados

El único inconveniente en comparación con otras plataformas es que 2easy no ofrece a los compradores potenciales una vista previa de un artículo vendido, como la dirección IP oculta o la versión del sistema operativo del dispositivo donde se robaron los datos.

La plaga de RedLine

Cada artículo comprado en 2easy llega en un archivo que contiene los registros robados por el bot seleccionado.

El tipo de contenido depende del malware de robo de información utilizado para el trabajo y sus capacidades, ya que cada cepa tiene un enfoque diferente.

Sin embargo, en el 50% de los casos, los proveedores usan RedLine como su malware favorito, que puede robar contraseñas, cookies, tarjetas de crédito almacenadas en navegadores web, credenciales de FTP y más, como se muestra a continuación.

Contenido del archivo de registro de RedLine comprado
Contenido del archivo de registro de RedLine comprado
Fuente: KELA

Cinco de los 18 proveedores activos en 2easy usan RedLine exclusivamente, mientras que otros cuatro lo usan junto con otras cepas de malware como Raccoon Stealer, Vidar y AZORult.

Un vendedor de 2easy que elogia la simplicidad de RedLine
Un vendedor de 2easy que elogia la simplicidad de RedLine
Fuente: KELA

Por que esto es importante

Los registros que contienen las credenciales son esencialmente las claves de los puertos, independientemente de si estos puertos conducen a sus cuentas en línea, información financiera o incluso acceso a redes corporativas.

Los actores de amenazas venden esta información por solo $ 5 por pieza, pero el daño sufrido a las entidades comprometidas podría contarse en millones.

"Un ejemplo así se puede ver a través del ataque de Electronic Arts que se reveló en junio de 2021", explica el informe de KELA.

"Según los informes, el ataque comenzó cuando los piratas informáticos compraron cookies robadas que se vendían en línea por solo $ 10 y continuó con los piratas informáticos que usaban esas credenciales para iniciar sesión en un canal de Slack utilizado por EA".

"Una vez en el canal de Slack, esos piratas informáticos engañaron con éxito a uno de los empleados de EA para que proporcionara un token de autenticación multifactor, lo que les permitió robar varios códigos fuente para los juegos de EA".

Credenciales Pulse Secure VPN disponibles a través de 2easy
Credenciales Pulse Secure VPN disponibles a través de 2easy
Fuente: KELA

El mercado de corredores de acceso temprano está en aumento y está directamente relacionado con infecciones catastróficas de ransomware, mientras que los mercados de registros como 2easy son parte del mismo ecosistema.

Se ofrecen millones de credenciales de cuenta para su compra en la web oscura, por lo que se necesitan medidas de seguridad adecuadas que traten las cuentas como potencialmente comprometidas.

Ejemplos de tales medidas incluyen pasos de autenticación de múltiples factores, rotación frecuente de contraseñas y aplicación del principio de privilegio mínimo para todos los usuarios.

Subir Change privacy settings