В результате скоординированной международной операции правоохранительных органов был ликвидирован Genesis Market - теневой онлайн-рынок, специализировавшийся на продаже украденных учетных данных, связанных с электронной почтой, банковскими счетами и платформами социальных сетей.
Одновременно с захватом инфраструктуры была проведена масштабная операция, в которой участвовали власти 17 стран, в результате которой было арестовано 119 человек и проведено 208 обысков имущества в 13 странах. Однако зеркало ресурса на .onion, похоже, продолжает работать.
Беспрецедентные действия правоохранительных органов получили кодовое название «Операция Cookie Monster».
С момента своего появления в марте 2018 года Genesis Market превратился в крупный центр преступной деятельности, предлагая доступ к данным, украденным с более чем 1,5 миллиона взломанных компьютеров по всему миру и содержащим в общей сложности более 80 миллионов учетных данных.
Большинство заражений, связанных с вредоносным ПО Genesis Market, было обнаружено в США, Мексике, Германии, Турции, Швеции, Италии, Франции, Испании, Польше, Украине, Саудовской Аравии, Индии, Пакистане, Индонезии и других странах, согласно данным, собранным Trelli.
Некоторые из известных семейств вредоносных программ, которые использовались для компрометации жертв, включают AZORult, Raccoon, RedLine и DanaBot, которые способны похищать конфиденциальную информацию из систем пользователей. Также через DanaBot распространяется мошенническое расширение Chrome, предназначенное для перехвата данных браузера.
«Учетные данные, выставленные на продажу на Genesis Market, включали учетные данные, связанные с финансовым сектором, критически важной инфраструктурой и федеральными, государственными и местными правительственными учреждениями» - говорится в заявлении Министерства юстиции США (Минюст).
Минюст назвал Genesis Market одним из «наиболее плодовитых брокеров первоначального доступа (IAB) в мире киберпреступности». Министерство финансов США в скоординированном заявлении применило санкции к преступному магазину, назвав его «ключевым ресурсом», используемым хакерами для атак на правительственные организации США.
Помимо учетных данных, Genesis также продавал «отпечатки» устройств - которые включают уникальные идентификаторы и куки браузера - чтобы помочь обойти системы обнаружения мошенничества, используемые многими веб-сайтами.
«Сочетание украденных учетных данных доступа, отпечатков пальцев и файлов cookie позволяло покупателям принимать личность жертвы, обманывая сторонние веб-сайты, заставляя их думать, что пользователь Genesis Market является фактическим владельцем аккаунта» - добавили в Минюсте.
Судебные документы показывают, что Федеральное бюро расследований США (ФБР) дважды получало доступ к внутренним серверам Genesis Market в декабре 2020 года и мае 2022 года, что позволило агентству получить доступ к информации, касающейся около 59 000 пользователей киберпреступного базара.
По данным Европола и Евроюста, пакеты украденной информации, собранной с зараженных компьютеров (так называемых "ботов"), продавались по цене от 0,70 до нескольких сотен долларов в зависимости от характера данных.
«Самые дорогие содержат финансовую информацию, позволяющую получить доступ к банковским счетам в Интернете» - отметил Европол, заявив, что преступникам, приобретающим данные, также предоставлялись дополнительные инструменты для их использования без привлечения внимания.
«Покупателям предоставлялся пользовательский браузер, который имитировал браузер их жертвы. Это позволяло преступникам получить доступ к аккаунту своей жертвы, не задействуя никаких мер безопасности платформы, на которой находился аккаунт».
Собственный браузер на базе Chromium, называемый Genesium, является кроссплатформенным, а его создатели заявляют о таких возможностях, как «анонимный серфинг» и другие расширенные функции, позволяющие пользователям обходить системы защиты от мошенничества.
Genesis Market, в отличие от Hydra и других незаконных торговых площадок, также был доступен через клирнет, тем самым снижая барьер входа для менее квалифицированных злоумышленников, желающих получить цифровые идентификаторы для взлома индивидуальных счетов и корпоративных систем.
Ожидается, что ликвидация ресурса окажет «эффект на всю подпольную экономику», поскольку злоумышленники будут искать альтернативы, чтобы заполнить пустоту, оставленную Genesis Market.
Genesis Market - последний в длинном ряду нелегальных сервисов, которые были ликвидированы правоохранительными органами. Он также появился ровно через год после ликвидации Hydra, которая была уничтожена немецкими властями в апреле 2022 года и произвела «тектонический сдвиг в ландшафте русскоязычного рынка даркнет».
«Почти через год после ликвидации Hydra пять торговых площадок - Mega, Blacksprut, Solaris, Kraken и OMG!OMG! Market - стали крупнейшими игроками по объему предложений и количеству продавцов» - сообщает Flashpoint.
Развитие событий также следует за запуском нового Darknet--рынка под названием STYX, который в первую очередь ориентирован на финансовое мошенничество, отмывание денег и кражу личных данных. Считается, что он откроет свои двери примерно 19 января 2023 года.
«Некоторые примеры конкретных услуг, предлагаемых на STYX, включают услуги по обналичиванию денег, дампы данных, SIM-карты, DDOS, обход 2FA/SMS, поддельные и украденные документы, банковские вредоносные программы и многое другое» - говорится в подробном отчете Resecurity.
Как и Genesis Market, STYX также предлагает утилиты, предназначенные для обхода решений по борьбе с мошенничеством и получения доступа к взломанным учетным записям путем использования детальных цифровых идентификаторов, таких как украденные файлы cookie, данные физических устройств и сетевые настройки для подделки законных логинов клиентов.
Появление STYX в качестве новой платформы в экосистеме коммерческих киберпреступников является еще одним признаком того, что рынок нелегальных услуг продолжает оставаться плодотворным бизнесом, позволяющим недобросовестным субъектам получать прибыль от кражи учетных данных и платежных данных.
«Большинство поставщиков STYX Marketplace специализируются на предоставлении услуг по борьбе с мошенничеством и отмыванием денег, нацеленных на популярные цифровые банковские платформы, онлайн-рынки, электронную коммерцию и другие платежные приложения» - отметили в Resecurity. «География, на которую нацелены эти угрозы, является глобальной и охватывает США, Евросоюз, Великобританию, Канаду, Австралию и множество стран АТР и Ближнего Востока».
Источник: https://thehackernews.com