2easy ahora un importante mercado web oscuro para datos robados

Un mercado de la web oscura llamado '2easy' se está convirtiendo en un actor importante en la venta de "Registros" de datos robados recolectados de aproximadamente 600.000 dispositivos infectados con malware que roba información.

Los "registros" son archivos de datos robados de navegadores web comprometidos o sistemas que usan malware, y su aspecto más importante es que comúnmente incluyen credenciales de cuenta, cookies y tarjetas de crédito guardadas.

2easy se lanzó en 2018 y ha experimentado un rápido crecimiento desde el año pasado, cuando solo vendió datos de 28,000 dispositivos infectados y se consideró un jugador menor.

Según un análisis realizado por investigadores de la firma israelí de inteligencia de la web oscura KELA, el crecimiento repentino se atribuye al desarrollo de la plataforma del mercado y a la calidad constante de las ofertas que han dado lugar a críticas favorables en la comunidad de delitos cibernéticos.

Registros baratos y válidos

El mercado está completamente automatizado, lo que significa que alguien puede crear una cuenta, agregar dinero a sus billeteras y realizar compras sin interactuar directamente con los vendedores.

Los registros están disponibles para su compra por tan solo $ 5 por artículo, aproximadamente cinco veces menos que los  precios promedio de Genesis  y tres veces menos que el costo promedio de los registros de bots en el mercado ruso.

Además, según el análisis de los comentarios de los actores de varios foros de la web oscura, los registros de 2easy ofrecen constantemente credenciales válidas que brindan acceso a la red a muchas organizaciones.


Además del costo y la validez, la GUI de 2easy es fácil de usar y poderosa al mismo tiempo, lo que permite a los actores realizar las siguientes funciones en el sitio:

- ver todas las URL en las que iniciaron sesión las máquinas infectadas
- buscar URL de interés
- navegue a través de una lista de máquinas infectadas de las que se robaron las credenciales de dicho sitio web.
- comprobar la calificación del vendedor
- Revise las etiquetas asignadas por los vendedores, que la mayoría de las veces incluyen la fecha en que se infectó la máquina y, a veces, notas adicionales del vendedor.
- adquirir credenciales para objetivos seleccionados

El único inconveniente en comparación con otras plataformas es que 2easy no ofrece a los posibles compradores una vista previa de un artículo vendido, como la dirección IP censurada o la versión del sistema operativo del dispositivo donde se robaron los datos.

La plaga de RedLine

Cada artículo comprado en 2easy viene en un archivo que contiene los registros robados del bot seleccionado.

El tipo de contenido depende del malware de robo de información utilizado para el trabajo y sus capacidades, ya que cada cepa tiene un conjunto de enfoques diferente.

Sin embargo, en el 50% de los casos, los vendedores usan  RedLine  como su malware preferido, que puede robar contraseñas, cookies, tarjetas de crédito almacenadas en navegadores web, credenciales de FTP y más, como se muestra a continuación.


Cinco de los 18 vendedores activos en 2easy usan RedLine exclusivamente, mientras que otros cuatro lo usan junto con otras cepas de malware como Raccoon Stealer , Vidar y AZORult .



Por que esto es importante

Los registros que contienen credenciales son esencialmente llaves de puertas, ya sea que esas puertas conduzcan a sus cuentas en línea, información financiera o incluso acceso a redes corporativas.

Los actores de amenazas venden esta información por tan solo $ 5 por pieza, pero el daño incurrido a las entidades comprometidas podría contarse en millones.

"Un ejemplo así se puede observar a través del ataque de Electronic Arts que se reveló en junio de 2021", explica el informe de KELA.

"Según los informes, el ataque comenzó con los piratas informáticos que compraron cookies robadas que se vendieron en línea por solo $ 10 y continuó con los piratas informáticos que usaban esas credenciales para obtener acceso a un canal de Slack utilizado por EA".

"Una vez en el canal de Slack, esos piratas informáticos engañaron con éxito a uno de los empleados de EA para que proporcionara un token de autenticación multifactor, lo que les permitió robar varios códigos fuente para los juegos de EA".


El mercado de corredores de acceso inicial está en aumento y está directamente relacionado con infecciones catastróficas de ransomware, mientras que los mercados de registros como 2easy son parte del mismo ecosistema.

Se ofrecen millones de credenciales de cuentas para su compra en la web oscura, por lo que se necesitan medidas de seguridad adecuadas que traten las cuentas como potencialmente comprometidas.

Ejemplos de esas medidas incluyen pasos de autenticación de múltiples factores, rotación frecuente de contraseñas y aplicación del principio de privilegio mínimo para todos los usuarios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta