Una operación policial internacional coordinada ha desmantelado Genesis Market, un mercado ilegal en línea que se especializaba en la venta de credenciales robadas asociadas con correo electrónico, cuentas bancarias y plataformas de redes sociales.
Coincidiendo con la incautación de infraestructura, la gran represión, que involucró a autoridades de 17 países, culminó con 119 arrestos y 208 allanamientos de propiedades en 13 países. sin embargo, el .cebolla espejo del mercado parece estar todavía en funcionamiento.
Lo “inédito” ley aplicación ejercicio ha sido nombrado en clave Operación Monstruo de las Galletas.
Genesis Market, desde su creación en marzo de 2018, se convirtió en un importante centro de actividades delictivas, ofreciendo acceso a datos robados de más de 1,5 millones de computadoras comprometidas en todo el mundo, con un total de más de 80 millones de credenciales.
Según los datos, la mayoría de las infecciones asociadas con el malware relacionado con Genesis Market se han detectado en EE. UU., México, Alemania, Turquía, Suecia, Italia, Francia, España, Polonia, Ucrania, Arabia Saudita, India, Pakistán e Indonesia, entre otros. reunidos por Trellix.
Algunos de los familias de malware destacadas distribuidos a través del servicio para comprometer a las víctimas incluyen AZORult, Raccoon, RedLine y DanaBot, que son capaces de robar información confidencial de los sistemas de los usuarios. También se entrega a través de DanaBot una extensión maliciosa de Chrome diseñada para desviar datos del navegador.
“Las credenciales de acceso a la cuenta anunciadas para la venta en Genesis Market incluían aquellas relacionadas con el sector financiero, la infraestructura crítica y las agencias gubernamentales federales, estatales y locales”, el Departamento de Justicia de EE. UU. (DoJ) dicho en una oracion.
El Departamento de Justicia calificó a Genesis Market como uno de los “intermediarios de acceso inicial (IAB) más prolíficos en el mundo del ciberdelito”.
Además de las credenciales, Genesis también vendió huellas dactilares de dispositivos, que incluyen identificadores únicos y cookies de navegador, para ayudar a los actores de amenazas a eludir los sistemas de detección antifraude utilizados por muchos sitios web.
“La combinación de credenciales de acceso robadas, huellas dactilares y cookies permitió a los compradores asumir la identidad de la víctima al engañar a los sitios web de terceros para que pensaran que el usuario de Genesis Market era el propietario real de la cuenta”, agregó el Departamento de Justicia.
Documentos judiciales revelar que la Oficina Federal de Investigaciones (FBI) de EE. UU. obtuvo acceso a los servidores backend de Genesis Market dos veces en diciembre de 2020 y mayo de 2022, lo que le permitió a la agencia acceder a información relacionada con aproximadamente 59,000 usuarios del bazar de ciberdelincuencia.
Los paquetes de información robada recopilada de computadoras infectadas (también conocidas como “bots”) se vendieron por entre $ 0,70 y varios cientos de dólares, según la naturaleza de los datos, según Europol y Eurojust.
“El más caro contendría información financiera que permitiría el acceso a cuentas bancarias en línea”, señaló Europol, afirmando que los delincuentes que compraron los datos también recibieron herramientas adicionales para usarlos sin llamar la atención.
“A los compradores se les proporcionó un navegador personalizado que imitaría el de su víctima. Esto permitió a los delincuentes acceder a la cuenta de su víctima sin activar ninguna de las medidas de seguridad de la plataforma en la que se encontraba la cuenta”.
El navegador patentado basado en Chromium, conocido como navegador Genesium, es multiplataforma, y los mantenedores afirman características como “navegación anónima” y otras funcionalidades avanzadas que permiten a sus usuarios eludir los sistemas antifraude.
Genesis Market, a diferencia de Hydra y otros mercados ilícitos, también era accesible a través de clearnet, lo que redujo la barrera de entrada para los actores de amenazas menos calificados que buscaban obtener identidades digitales para violar cuentas individuales y sistemas empresariales.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
El Derribar es esperado tener un “efecto dominó en toda la economía clandestina” a medida que los actores de amenazas buscan alternativas para llenar el vacío dejado por Genesis Market.
Genesis Market es el último de una larga lista de servicios ilegítimos que han sido eliminados por las fuerzas del orden. También llega exactamente un año después del desmantelamiento de Hydra, que fue derribado por la policía en abril de 2022 y creó un “cambio sísmico en el panorama del mercado de la red oscura en ruso”.
“Casi un año después del desmantelamiento de Hydra, cinco mercados (Mega, Blacksprut, Solaris, Kraken y OMG!OMG! Market) han emergido como los jugadores más importantes en función del volumen de ofertas y la cantidad de vendedores”, Flashpoint dicho en un nuevo informe.
El desarrollo también sigue al lanzamiento de un nuevo mercado web oscuro conocido como STYX que está orientado principalmente al fraude financiero, el lavado de dinero y el robo de identidad. Se dice que abrió sus puertas alrededor del 19 de enero de 2023.
“Algunos ejemplos de las ofertas de servicios específicos comercializados en STYX incluyen servicios de retiro de efectivo, volcados de datos, tarjetas SIM, DDOS, omisión de 2FA/SMS, documentos de identificación falsos y robados, malware bancario y mucho más”, Resecurity dicho en un escrito detallado.
Al igual que Genesis Market, STYX también ofrece utilidades diseñadas para eludir soluciones antifraude y acceder a cuentas comprometidas mediante el uso de identificadores digitales granulares como archivos de cookies robados, datos de dispositivos físicos y configuraciones de red para falsificar inicios de sesión de clientes legítimos.
La aparición de STYX como una nueva plataforma en el ecosistema ciberdelincuente comercial es otra señal de que el mercado de servicios ilegales sigue siendo un negocio fructífero, que permite a los malos actores beneficiarse del robo de credenciales y los datos de pago.
“La mayoría de los proveedores de STYX Marketplace se especializan en servicios de fraude y lavado de dinero dirigidos a plataformas bancarias digitales populares, mercados en línea, comercio electrónico y otras aplicaciones de pago”, señaló Resecurity. “Las geografías a las que apuntan estos actores de amenazas son globales y abarcan los EE. UU., la UE, el Reino Unido, Canadá, Australia y varios países en APAC y Medio Oriente”.
About the Author
