El FBI incautó un reconocido sitio de venta de credenciales robadas
Los dominios y la infraestructura de Genesis Market, uno de los sitios más populares para credenciales robadas de todo tipo, fueron incautados por la policía a principios de esta semana. La incautación fue parte de la Operación Cookie Monster.
La acción es un golpe importante para el mundo de los ciberdelincuentes. Esto porque Genesis fue uno de los principales sitios que ofrecían credenciales de cuentas corporativas y de consumidores.
Buscando a los administradores
Si bien las autoridades aún no han publicado comunicados de prensa sobre el desmantelamiento, al acceder a los dominios de Genesis Market se muestra un banner. El banner afirma que el FBI ha ejecutado una orden de incautación.
Parece que los administradores del sitio no han sido arrestados ni identificados ya que el FBI está interesado en cualquiera que esté en contacto con ellos. Quienquiera que esté detrás de Genesis Market ha mantenido un perfil bajo durante todos estos años, lo que indica un buen conocimiento de seguridad operativa.
El FBI reportó que la acción fue posible con el apoyo de múltiples organizaciones del sector público y privado.
“Estas incautaciones fueron posibles gracias a la coordinación internacional de la aplicación de la ley y el sector privado”.
Comunicado en el banner de incautación, que incluye a cerca de dos docenas de socios.
Sin embargo, parte de la infraestructura de Génesis parece estar todavía activa. Todavía se puede acceder al sitio de la plataforma en la web oscura.
Los investigadores de ZeroFox dicen que los administradores de la plataforma anunciaron recientemente que los nuevos dominios para el sitio estarían disponibles a través de canales de la dark web de buena reputación.
Sitios activos en la web oscura
Los operadores de Genesis Market confirmaron que el dominio de la red Tor está activo. Además, aseguraron que mantendrían la tienda en funcionamiento lanzando su complemento a través de Tor. También advirtieron sobre la aparición de dominios falsos.
Según ZeroFox, el inventario de la plataforma recibió nuevos bots desde que se incautaron los dominios web públicos de la plataforma.
Alexander Martin de The Record escribió que la incautación de Genesis Market provocó una gran cantidad de arrestos en todo el mundo.
Europol en un comunicado de prensa el miércoles informó que 119 usuarios de la plataforma han sido arrestados, las fuerzas del orden realizaron registros en 208 propiedades y entrevistaron a 97 personas.
Genesis, el mercado de la identidad digital
Genesis Market comenzó en etapa alfa a fines de 2017 y para 2020 se convirtió en la tienda en línea más popular para credenciales de cuentas para varios servicios, huellas digitales de dispositivos y cookies.
La empresa de ciberseguridad Trellix, que ayudó a las autoridades con el análisis y la detección de archivos maliciosos utilizados por Genesis Market, dice que los operadores de la plataforma utilizaron un código JavaScript personalizado colocado en las máquinas de las víctimas. El script les permitió recopilar los datos de inicio de sesión y huellas digitales (por ejemplo, cookies, direcciones IP, zonas horarias, información del dispositivo) que juntos componen la identidad digital.
El JavaScript malicioso fue colocado en hosts comprometidos por varios programas maliciosos de robo de información, entre ellos RedLine, DanaBot, Raccoon, AZORult. En otras palabras, el script proporcionó acceso inicial.
Sus ganancias provenían del alquiler de las identidades de las cuentas a través de bots que proporcionaban cuentas robadas e información confidencial, junto con los datos de las huellas digitales que hacían que el acceso pareciera legítimo.
El bot residía en la computadora comprometida y enviaba la información recolectada en tiempo real a su comprador.
Dependiendo de la información recolectada, un bot cuesta desde $0.70 (cuentas de consumidores) hasta cientos de dólares (acceso a la banca en línea).
La base de datos completa de Genesis Market tenía 1.5 millones de bots que proporcionaban más de 2 millones de identidades. Más de 460,000 bots estaban disponibles para la venta en el momento del desmantelamiento. En total, la plataforma ofreció alrededor de 80 millones de credenciales y huellas digitales, según la Agencia Nacional contra el Crimen del Reino Unido.
Uso de la información robada
“Los delincuentes que compraron estos bots especiales no solo recibieron datos robados, sino también los medios para usarlos. A los compradores se les proporcionó un navegador personalizado que imitaba al de su víctima. Esto permitió a los delincuentes acceder a la cuenta de su víctima sin activar cualquiera de las medidas de seguridad de la plataforma en la que estaba la cuenta”
– Europol
Genesis Market proporcionó acceso a una amplia lista de servicios con cuentas de usuarios de todo el mundo. Entre ellos estaban Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom y Ebay.
Parece que los clientes de la plataforma ganaron bastante dinero usando las identidades digitales robadas. Tras una redada a un presunto ciberdelincuente que utilizaba Genesis Market, la policía rumana incautó más de 200,000 dólares en efectivo y más de 9 kilogramos de oro puro.
Según la policía holandesa, una víctima perdió casi 70,000 eutos después de que un cliente de Genesis Market usara su identidad digital para realizar varias compras en línea. Alguien también abrió varias cuentas a su nombre en varios bancos.
Los usuarios que deseen verificar si sus cuentas fueron comprometidas y vendidas en Genesis Market pueden consultar un portal de la policía holandesa creado específicamente para este propósito.