Af Eskil Sørensen, 02/12/22
34 russisktalende grupperinger, der distribuerer infostealermalware under 'Stealer-as-a-service'-modellen, har tilranet sig ikke mindre end 50 millioner adgangskoder i de første syv måneder af 2022.
Det skriver The Hacker News på baggrund af en rapport fra Group-IB, der anslår markedsværdien for logs og kompromitterede kortoplysninger på Dark Web for at være på omkring 5,8 millioner dollars. Ud over adgangskoder er der også indhøstet 2,11 milliarder cookie-filer, 113.204 crypto wallets og oplysninger fra 103.150 betalingskort.
De fleste ofre befinder sig i USA, efterfulgt af Brasilien, Indien, Tyskland, Indonesien, Filippinerne, Frankrig, Tyrkiet, Vietnam og Italien. I alt blev over 890.000 enheder i 111 lande inficeret i løbet af perioden.
Grupperne er ifølge Group-IB aktive på Telegram og har i gennemsnit omkring 200 medlemmer. De har angiveligt en hierarkisk struktur med administratorer og arbejdere. Arbejderne er ansvarlige for at drive brugere til info-stealers som RedLine og Raccoon. Forretningsmodellen er sådan, at administratorer giver arbejdere RedLine eller Racoon i bytte for en del af de stjålne data eller penge. Efter en vellykket høst sælger arbejderne og administratorerne de stjålne oplysninger på Dark Web. Der er oprettet websteder med lokkemad, der efterligner kendte virksomheders websider, og her lokkes ofrene til at downloade ondsindede filer. Links til hjemmesiderne er tilsyneladende indlejret i YouTube-videoanmeldelser for populære spil og lotterier på sociale medier eller delt direkte med NFT-kunstnere. NTF-kunstnere arbejder med digital kunst.
The Hacker News nævner, at Telegram har en afgørende rolle i facilitering af en række kriminelle aktiviteter, herunder at fungere som et knudepunkt for annoncering af produktopdateringer, tilbyde kundesupport og udskille data fra kompromitterede enheder.
Group-IB skriver i rapporten, at ordningernes popularitet er betinget af den lave adgangsbarriere. Det betyder, at begyndere ikke behøver at have avanceret teknisk viden, da processen er fuldautomatisk, og arbejderens eneste opgave er at oprette en fil med en stealer og tiltrække trafik.
Links:
https://thehackernews.com/2022/11/25-russian-hacker-groups-stole-over-50...