Suçlu yeraltı pazarları ile dolu – kötü amaçlı yazılımlarla, çalınan finansal ve sağlık verileriyle veya bilgisayar korsanlığı araçlarıyla ilgilenen saldırganların istekli bir satıcı bulmak için çok uğraşmasına gerek yok. Saldırganlar siber saldırılarını gerçekleştirmek için çalınan parolalara veya güvenliği ihlal edilmiş oturum açma kimlik bilgilerine giderek daha fazla güvenirken, birçoğu bot pazarlarında, güvenlik analizi şirketinde alışveriş yapıyor. Cognyte yeni bir raporda diyor.
Bot pazarları, çalınan oturum açma kimlik bilgilerini satan otomatik mağazalardır ve Cognyte, 2021’de en aktif dört bot pazaryerini belirledi: 2easy, Amigos, Genesis ve Russian Market. Cognyte’nin araştırmasının bir parçası olarak baktığı 2019 ve 2021 arasında çalınan yaklaşık 5,3 milyon oturum açma kimlik bilgisinden %73’ünün 2021’de toplandığını söylüyor Cognyte. 2021’de satışa sunulan oturum açma bilgilerinin çoğu %71 ile Rusya Pazarı’ndaydı.
Geçen yıl video oyunu yayıncısı Electronic Arts’ta, hassas verileri ve video oyunu FIFA 21’in kaynak kodunu ifşa eden veri ihlalinin, bir saldırganın Genesis Market’ten şirketin dahili Slack ortamına erişim satın almasının sonucu olduğu bildirildi. Saldırganın bir Slack kimlik bilgisi için 10 dolar harcadığı ve bir kez girdikten sonra kurumsal BT’yi dahili ağın geri kalanına erişim vermeye ikna ettiği bildirildi. Cognyte’nin araştırmasında, Genesis Market, 2021’de bot pazarlarında satılan oturum açma kimlik bilgilerinin yalnızca %5’ini oluşturuyordu.
Genesis, 2020 ve 2021’in çoğu için her ay 20.000 ila 30.000 oturum açma kimlik bilgisi sattı – zirve, 52.004 kaydın satışa sunulduğu Ocak 2020’deydi.
Cognyte, bilgi hırsızlarının çalınan malları bu bot pazarlarında tedarik ettiğini söylüyor. Bilgi hırsızları, sisteme kullanıcı adı ve parolalar, uygulamalara erişmek için kullanılan kimlik bilgileri, web siteleri için oturum açma bilgileri, ödeme kartı ayrıntıları ve kripto para cüzdanları gibi virüslü sistemden belirli bilgileri toplamak için tasarlanmış kötü amaçlı yazılımlardır. Bazı bilgi hırsızları, yüklenen donanım ve yazılım uygulamalarının türü, IP adresi ve saldırganın güvenliği ihlal edilmiş sistem gibi göstermek için kullanabileceği yapılandırma ayarları gibi güvenliği ihlal edilen sistem hakkında parmak izi bilgilerini toplayabilir.
Tüm pazarlar, satışa sunulan oturum açma bilgilerinin arkasında hangi hırsızların olduğunu göstermez, ancak Cognyte’nin analizi en aktif beş tanesini vurgular: AZORult, Racoon, Redline, Taurus ve Vidar. Bu bilgi hırsızları suç forumlarında satılır ve birkaç dolardan yüzlerce dolara kadar değişen fiyatlara satılır. Hatta bazıları bir abonelik modeli sunuyor.
Cognyte, bilgi hırsızlarının kullanımının yıl boyunca değiştiğini söylüyor. 2021’in başında en çok kullanılan bilgi hırsızı Vidar olurken, onu Toros izledi. Racoon ağırlıklı olarak Mart 2021’de 152.508 kayıtla kullanıldı. Redline, Nisan ayında daha yaygın bir şekilde kullanılmaya başlandı ve en çok kullanılan bilgi hırsızı statüsünü korudu. 2021’de Redline, analiz edilen oturum açma kimlik bilgilerinin %32’sini sağladı.
Araştırmacılar, “Kötü amaçlı yazılımın erişilebilirliği ve güvenilirliği nedeniyle, onu gelecekte bot pazarlarında ana kaynak olarak görmeye devam edeceğimize inanıyoruz” diyor.