No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Los cibercriminales están vendiendo cientos de miles de conjuntos de credenciales robados con la ayuda de una versión pirateada de Acunetix, un potente escáner de vulnerabilidades de aplicaciones web comerciales, según un nuevo estudio. El software pirateado se está revendiendo como una herramienta de ataque basada en la nube por al menos dos servicios diferentes, uno de los cuales KrebsOnSecurity rastreó hasta una empresa de tecnología de la información con sede en Turquía.
Los analistas de amenazas cibernéticas de Silent Push dijeron que recientemente recibieron informes de una organización asociada que identificó un esfuerzo de escaneo agresivo contra su sitio web utilizando una dirección de Internet previamente asociada con una campaña de FIN7, un notorio grupo de piratas informáticos con sede en Rusia.
Pero al inspeccionar más de cerca, descubrieron que la dirección contenía un título HTML de "Panel de clientes de Araneida" y descubrieron que podían buscar en esa cadena de texto para encontrar docenas de direcciones únicas que alojaban el mismo servicio.
Pronto se hizo evidente que Araneida se estaba revendiendo como un servicio basado en la nube que utilizaba una versión pirateada de Acunetix, lo que permitía a los clientes que pagaban realizar un reconocimiento ofensivo en sitios web de destino potenciales, extraer datos de los usuarios y encontrar vulnerabilidades para su explotación.
Silent Push también descubrió que Araneida combina su servicio con una sólida oferta de proxy, de modo que los escaneos de los clientes parecen provenir de direcciones de Internet que se seleccionan aleatoriamente de un gran grupo de relés de tráfico disponibles
Los creadores de Invicti Security, un proveedor de seguridad de aplicaciones con sede en Acunetix, Texas, confirmaron los hallazgos de Silent Push y dijeron que alguien había descubierto cómo descifrar la versión de prueba gratuita del software para que funcione sin una clave de licencia válida.
"Hemos estado jugando al gato y al ratón durante un tiempo con estos tipos", dijo Matt Sciberras, director de seguridad de la información de Invicti.
Silent Push dijo que Araneida está siendo promocionada por un usuario epónimo en varios foros de delitos cibernéticos. El canal de Telegram del servicio cuenta con casi 500 suscriptores y explica cómo usar la herramienta con fines maliciosos.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
En una lista de "Datos curiosos" publicada en el canal a fines de septiembre, Araneida dijo que su servicio se utilizó para apoderarse de más de 30.000 sitios web en solo seis meses, y que un cliente lo utilizó para comprar un Porsche con los datos de la tarjeta de pago ("dumps") que vendieron.
"Están constantemente alardeando ante su comunidad sobre los crímenes que se están cometiendo, sobre cómo los criminales ganan dinero con ello", dijo Zach Edwards, investigador principal de amenazas en Silent Push. "También están vendiendo datos masivos y volcados que parecen haber sido adquiridos con esta herramienta o debido a vulnerabilidades encontradas con la herramienta".
Silent Push también descubrió que una versión pirateada de Acunetix estaba impulsando al menos 20 instancias de un servicio de prueba de vulnerabilidades basado en la nube similar dirigido a hablantes de mandarín, pero no pudieron encontrar ningún hilo de ventas aparentemente relacionado con ellos.
Los rumores de que los atacantes estaban utilizando una versión pirateada de Acunetix surgieron en junio de 2023 en Twitter/X, cuando los investigadores postularon por primera vez una conexión entre la actividad de escaneo observada y Araneida.
Según un informe de agosto de 2023 del Departamento de Salud y Servicios Humanos de EE. UU. (HHS), Acunetix (presumiblemente una versión pirateada) se encuentra entre varias herramientas utilizadas por APT 41, un prolífico grupo de piratería informática patrocinado por el estado chino.
LA CONEXIÓN TURCA
Silent Push señala que el sitio web donde se vende Araneida —araneida[.]co— se puso en línea por primera vez en febrero de 2023. Pero una revisión de este apodo de Araneida en los foros de delitos cibernéticos muestra que han estado activos en la escena de la piratería informática desde al menos 2018.
Una búsqueda en la plataforma de inteligencia de amenazas Intel 471 muestra que un usuario con el nombre Araneida promocionó el escáner en dos foros de delitos cibernéticos desde 2022, incluidos Breached y Nulled. En 2022, Araneida les dijo a otros miembros de Breached que podían comunicarse con ellos en Discord con el nombre de usuario "Ornie#9811".
Según Intel 471, esta misma cuenta de Discord fue publicitada en 2019 por una persona en el foro de delitos cibernéticos Cracked que usaba los apodos "ORN" y "ori0n". El usuario "ori0n" mencionó en varias publicaciones que se le podía contactar en Telegram con el nombre de usuario "@sirorny".
La identidad de Sirorny en Telegram también fue mencionada como punto de contacto para un usuario actual en el foro de delitos cibernéticos Nulled que vende servicios de desarrollo de sitios web y que menciona a araneida[.]co como uno de sus proyectos. Ese usuario, "Exorn", tiene publicaciones que datan de agosto de 2018.
A principios de 2020, Exorn promocionó un sitio web llamado "orndorks[.]com", que describieron como un servicio para automatizar el escaneo de vulnerabilidades basadas en la web. Una búsqueda pasiva de DNS en este dominio en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestra que sus registros de correo electrónico apuntaban a la dirección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
Constella Intelligence, una empresa que rastrea la información expuesta en violaciones de datos, descubre que esta dirección de correo electrónico se utilizó para registrar una cuenta en Breachforums en julio de 2024 con el apodo "Ornie". Constella también encuentra el mismo correo electrónico registrado en el sitio web netguard[.]codes en 2021 con la contraseña "ceza2003"
Una búsqueda de la contraseña ceza2003 en Constella encuentra aproximadamente una docena de direcciones de correo electrónico que la usaron en una filtración de datos expuesta, la mayoría de ellas con alguna variación del nombre "altugsara", incluido No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Constella descubre además que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se utilizó para crear una cuenta en la comunidad de delitos cibernéticos RaidForums con el nombre de usuario "ori0n", desde una dirección de Internet en Estambul.
Según DomainTools, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se utilizó en 2020 para registrar el nombre de dominio altugsara[.]com. El historial de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para ese dominio muestra que en 2021 presentó un sitio web de Altuğ Şara, que entonces tenía 18 años, de Ankara, Turquía.
LinkedIn encuentra este mismo dominio altugsara[.]com en la sección de "información de contacto" de un perfil de Altug Sara de Ankara, que dice haber trabajado los últimos dos años como desarrollador de software senior para una empresa de TI turca llamada Bilitro Yazilim.
Ni Altug Sara ni Bilitro Yazilim respondieron a las solicitudes de comentarios.
El sitio web de Invicti afirma que tiene oficinas en Ankara, pero el director ejecutivo de la empresa dijo que ninguno de sus empleados reconoció ninguno de los dos nombres.
"Tenemos un pequeño equipo en Ankara, pero hasta donde sé no tenemos ninguna conexión con el individuo más allá del hecho de que también está en Ankara", dijo el director ejecutivo de Invicti, Neil Roseman, a KrebsOnSecurity.
Los investigadores de Silent Push dicen que, a pesar de que Araneida utiliza un suministro aparentemente infinito de proxies para ocultar la ubicación real de sus usuarios, es un escáner bastante "ruidoso" que iniciará un gran volumen de solicitudes a varios puntos finales de API y realizará solicitudes a URL aleatorias asociadas con diferentes sistemas de gestión de contenido.
Es más, la versión crackeada de Acunetix que se revende a los cibercriminales invoca certificados SSL heredados de Acunetix en paneles de control activos, lo que, según Silent Push, proporciona un punto de apoyo sólido para encontrar parte de esta infraestructura, en particular de los actores de amenazas chinos.
Fuente:
KrebsOnSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Los cibercriminales están vendiendo cientos de miles de conjuntos de credenciales robados con la ayuda de una versión pirateada de Acunetix, un potente escáner de vulnerabilidades de aplicaciones web comerciales, según un nuevo estudio. El software pirateado se está revendiendo como una herramienta de ataque basada en la nube por al menos dos servicios diferentes, uno de los cuales KrebsOnSecurity rastreó hasta una empresa de tecnología de la información con sede en Turquía.
Los analistas de amenazas cibernéticas de Silent Push dijeron que recientemente recibieron informes de una organización asociada que identificó un esfuerzo de escaneo agresivo contra su sitio web utilizando una dirección de Internet previamente asociada con una campaña de FIN7, un notorio grupo de piratas informáticos con sede en Rusia.
Pero al inspeccionar más de cerca, descubrieron que la dirección contenía un título HTML de "Panel de clientes de Araneida" y descubrieron que podían buscar en esa cadena de texto para encontrar docenas de direcciones únicas que alojaban el mismo servicio.
Pronto se hizo evidente que Araneida se estaba revendiendo como un servicio basado en la nube que utilizaba una versión pirateada de Acunetix, lo que permitía a los clientes que pagaban realizar un reconocimiento ofensivo en sitios web de destino potenciales, extraer datos de los usuarios y encontrar vulnerabilidades para su explotación.
Silent Push también descubrió que Araneida combina su servicio con una sólida oferta de proxy, de modo que los escaneos de los clientes parecen provenir de direcciones de Internet que se seleccionan aleatoriamente de un gran grupo de relés de tráfico disponibles
Los creadores de Invicti Security, un proveedor de seguridad de aplicaciones con sede en Acunetix, Texas, confirmaron los hallazgos de Silent Push y dijeron que alguien había descubierto cómo descifrar la versión de prueba gratuita del software para que funcione sin una clave de licencia válida.
"Hemos estado jugando al gato y al ratón durante un tiempo con estos tipos", dijo Matt Sciberras, director de seguridad de la información de Invicti.
Silent Push dijo que Araneida está siendo promocionada por un usuario epónimo en varios foros de delitos cibernéticos. El canal de Telegram del servicio cuenta con casi 500 suscriptores y explica cómo usar la herramienta con fines maliciosos.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
En una lista de "Datos curiosos" publicada en el canal a fines de septiembre, Araneida dijo que su servicio se utilizó para apoderarse de más de 30.000 sitios web en solo seis meses, y que un cliente lo utilizó para comprar un Porsche con los datos de la tarjeta de pago ("dumps") que vendieron.
"Están constantemente alardeando ante su comunidad sobre los crímenes que se están cometiendo, sobre cómo los criminales ganan dinero con ello", dijo Zach Edwards, investigador principal de amenazas en Silent Push. "También están vendiendo datos masivos y volcados que parecen haber sido adquiridos con esta herramienta o debido a vulnerabilidades encontradas con la herramienta".
Silent Push también descubrió que una versión pirateada de Acunetix estaba impulsando al menos 20 instancias de un servicio de prueba de vulnerabilidades basado en la nube similar dirigido a hablantes de mandarín, pero no pudieron encontrar ningún hilo de ventas aparentemente relacionado con ellos.
Los rumores de que los atacantes estaban utilizando una versión pirateada de Acunetix surgieron en junio de 2023 en Twitter/X, cuando los investigadores postularon por primera vez una conexión entre la actividad de escaneo observada y Araneida.
Según un informe de agosto de 2023 del Departamento de Salud y Servicios Humanos de EE. UU. (HHS), Acunetix (presumiblemente una versión pirateada) se encuentra entre varias herramientas utilizadas por APT 41, un prolífico grupo de piratería informática patrocinado por el estado chino.
LA CONEXIÓN TURCA
Silent Push señala que el sitio web donde se vende Araneida —araneida[.]co— se puso en línea por primera vez en febrero de 2023. Pero una revisión de este apodo de Araneida en los foros de delitos cibernéticos muestra que han estado activos en la escena de la piratería informática desde al menos 2018.
Una búsqueda en la plataforma de inteligencia de amenazas Intel 471 muestra que un usuario con el nombre Araneida promocionó el escáner en dos foros de delitos cibernéticos desde 2022, incluidos Breached y Nulled. En 2022, Araneida les dijo a otros miembros de Breached que podían comunicarse con ellos en Discord con el nombre de usuario "Ornie#9811".
Según Intel 471, esta misma cuenta de Discord fue publicitada en 2019 por una persona en el foro de delitos cibernéticos Cracked que usaba los apodos "ORN" y "ori0n". El usuario "ori0n" mencionó en varias publicaciones que se le podía contactar en Telegram con el nombre de usuario "@sirorny".
La identidad de Sirorny en Telegram también fue mencionada como punto de contacto para un usuario actual en el foro de delitos cibernéticos Nulled que vende servicios de desarrollo de sitios web y que menciona a araneida[.]co como uno de sus proyectos. Ese usuario, "Exorn", tiene publicaciones que datan de agosto de 2018.
A principios de 2020, Exorn promocionó un sitio web llamado "orndorks[.]com", que describieron como un servicio para automatizar el escaneo de vulnerabilidades basadas en la web. Una búsqueda pasiva de DNS en este dominio en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta muestra que sus registros de correo electrónico apuntaban a la dirección No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.
Constella Intelligence, una empresa que rastrea la información expuesta en violaciones de datos, descubre que esta dirección de correo electrónico se utilizó para registrar una cuenta en Breachforums en julio de 2024 con el apodo "Ornie". Constella también encuentra el mismo correo electrónico registrado en el sitio web netguard[.]codes en 2021 con la contraseña "ceza2003"
Una búsqueda de la contraseña ceza2003 en Constella encuentra aproximadamente una docena de direcciones de correo electrónico que la usaron en una filtración de datos expuesta, la mayoría de ellas con alguna variación del nombre "altugsara", incluido No tienes permitido ver enlaces. Registrate o Entra a tu cuenta. Constella descubre además que No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se utilizó para crear una cuenta en la comunidad de delitos cibernéticos RaidForums con el nombre de usuario "ori0n", desde una dirección de Internet en Estambul.
Según DomainTools, No tienes permitido ver enlaces. Registrate o Entra a tu cuenta se utilizó en 2020 para registrar el nombre de dominio altugsara[.]com. El historial de No tienes permitido ver enlaces. Registrate o Entra a tu cuenta para ese dominio muestra que en 2021 presentó un sitio web de Altuğ Şara, que entonces tenía 18 años, de Ankara, Turquía.
LinkedIn encuentra este mismo dominio altugsara[.]com en la sección de "información de contacto" de un perfil de Altug Sara de Ankara, que dice haber trabajado los últimos dos años como desarrollador de software senior para una empresa de TI turca llamada Bilitro Yazilim.
Ni Altug Sara ni Bilitro Yazilim respondieron a las solicitudes de comentarios.
El sitio web de Invicti afirma que tiene oficinas en Ankara, pero el director ejecutivo de la empresa dijo que ninguno de sus empleados reconoció ninguno de los dos nombres.
"Tenemos un pequeño equipo en Ankara, pero hasta donde sé no tenemos ninguna conexión con el individuo más allá del hecho de que también está en Ankara", dijo el director ejecutivo de Invicti, Neil Roseman, a KrebsOnSecurity.
Los investigadores de Silent Push dicen que, a pesar de que Araneida utiliza un suministro aparentemente infinito de proxies para ocultar la ubicación real de sus usuarios, es un escáner bastante "ruidoso" que iniciará un gran volumen de solicitudes a varios puntos finales de API y realizará solicitudes a URL aleatorias asociadas con diferentes sistemas de gestión de contenido.
Es más, la versión crackeada de Acunetix que se revende a los cibercriminales invoca certificados SSL heredados de Acunetix en paneles de control activos, lo que, según Silent Push, proporciona un punto de apoyo sólido para encontrar parte de esta infraestructura, en particular de los actores de amenazas chinos.
Fuente:
KrebsOnSecurity
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta