(https://i.postimg.cc/ncbF27bs/Malware-Data-Stealer.png) (https://postimages.org/)
Los investigadores descubrieron 120.000 sistemas infectados que contenían credenciales para foros de ciberdelincuencia. Muchas de las computadoras pertenecen a piratas informáticos, dicen los investigadores.
Al analizar los datos, los investigadores de amenazas descubrieron que las contraseñas utilizadas para iniciar sesión en los foros de piratería eran generalmente más seguras que las de los sitios web gubernamentales.
Inicios de sesión de piratas informáticos comprometidos
Después de revisar 100 foros de delitos cibernéticos, los investigadores de la empresa de inteligencia de amenazas Hudson Rock descubrieron que algunos piratas informáticos habían infectado sus computadoras sin darse cuenta y les habían robado sus inicios de sesión.
Hudson Rock dice que 100.000 de las computadoras comprometidas pertenecían a piratas informáticos y la cantidad de credenciales para foros de ciberdelincuencia superaba las 140.000.
(https://i.postimg.cc/N0CZGvc4/Hacker-Cat.jpg) (https://postimages.org/)
Los investigadores recopilaron la información de filtraciones disponibles públicamente, así como registros de ladrones de información (comúnmente llamados stealer o info-stealer) obtenidos directamente de los actores de amenazas.
Los "ladrones de información" (stealer) son un tipo de malware que buscan ubicaciones específicas en la computadora para obtener información de inicio de sesión. Un objetivo común son los navegadores web, debido a sus funciones de autocompletado y almacenamiento de contraseñas.
Alon Gal, director de tecnología de Hudson Rock, declaró que "los piratas informáticos de todo el mundo infectan las computadoras de manera oportunista al promover resultados para software falso o mediante tutoriales de YouTube que dirigen a las víctimas a descargar software infectado".
Entre los que cayeron en el señuelo había otros piratas informáticos, probablemente menos hábiles, por lo que se infectaron como cualquier otro usuario crédulo que intentara tomar un atajo.
Identificar a los propietarios de esas computadoras comprometidas como piratas informáticos, o al menos entusiastas de los piratas informáticos, fue posible al observar los datos de los registros del ladrón de información, que también expusieron la identidad real del individuo:
- Credenciales adicionales encontradas en las computadoras (correos electrónicos adicionales, nombres de usuario)
- Autocompletar datos que contienen información personal (nombres, direcciones, números de teléfono)
- Información del sistema (nombres de las computadoras, direcciones IP)
En una publicación de blog anterior, Hudson Rock describe cómo un destacado actor de amenazas llamado La_Citrix, conocido por vender acceso Citrix/VPN/RDP a empresas, infectó accidentalmente su computadora.
Al observar los datos recopilados, Hudson Rock determinó que más de 57 000 usuarios comprometidos tenían cuentas en la comunidad Nulled [.] To de ciberdelincuentes en ciernes.
(https://i.postimg.cc/wvxngxZ3/100-K-hacking-forums-accounts-exposed.png) (https://postimages.org/)
Los usuarios de BreachForums tenían las contraseñas más seguras para iniciar sesión en el sitio, encontraron los investigadores, con más del 40% de las credenciales que tenían al menos 10 caracteres y contenían cuatro tipos de caracteres.
(https://i.postimg.cc/44SjRg5N/100-K-hacking-forums-accounts-exposed-2.png) (https://postimages.org/)
Sin embargo, los piratas informáticos también utilizaron contraseñas muy débiles, como una cadena de números consecutivos. Esto podría explicarse por su falta de interés en involucrarse en la comunidad.
Podrían estar usando la cuenta solo para mantenerse al día con las discusiones, verificar qué datos estaban a la venta o simplemente para tener acceso al foro cada vez que ocurriera algo más importante.
Los investigadores también descubrieron que las credenciales de los foros de ciberdelincuencia eran generalmente más sólidas que los inicios de sesión de los sitios web gubernamentales, aunque la diferencia no es grande.
(https://i.postimg.cc/bvpB9NzL/100-K-hacking-forums-accounts-exposed-3.png) (https://postimages.org/)
Según Hudson Rock, la mayoría de las infecciones procedían de solo tres ladrones de información (stealer), que también resultan ser opciones populares entre muchos piratas informáticos: RedLine, Raccoon y Azorult.
Por el momento, una gran cantidad de compromisos de acceso inicial comienzan con un ladrón de información, que recopila todos los datos que un actor de amenazas necesita para hacerse pasar por un usuario legítimo, generalmente llamado huella digital del sistema.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/over-100k-hacking-forums-accounts-exposed-by-info-stealing-malware/