Аналитики компании KELA рассказывают, что в даркнете набирает популярность торговая площадка 2easy, постепенно становящаяся важным игроком в области продажи украденных данных. Отчет компании гласит, что ворованная информация была собрана примерно с 600 000 устройств, зараженных малварью.

В основном на 2easy продают так называемые логи (Logs), которые представляют собой архивы данных, украденных малварью из взломанных браузеров и систем. Как правило, такие дампы включают в себя учетные данные, файлы cookie и информацию о сохраненных банковских картах.

2easy был запущен еще в 2018 году, но стремительный рост площадка демонстрирует с прошлого года, так как еще недавно сайт продавал данные лишь с 28 000 зараженных устройств и считался второстепенным игроком на этом рынке. По мнению специалистов KELA, резкий рост объясняется развитием платформы и стабильным качеством ее предложений, из-за чего 2easy заработала себе репутацию и популярность в хакерском сообществе.

Реклама 2easy

Сайт полностью автоматизирован, то есть любой желающий может создать учетную запись, добавить деньги в кошелек и совершать покупки, не взаимодействуя с продавцами напрямую. Данные доступны для покупки в среднем по 5 долларов, а это примерно в пять раз меньше, чем на маркетплейсе Genesis, и в три раза меньше средней стоимости на российском черном рынке.

Эксперты отмечают, что графический интерфейс 2easy удобен и позволяет пользователям выполнять на сайте следующие действия:

  • просмотреть все URL-адреса, куда логинились зараженные машины;
  • выполнить поиск по интересующим URL;
  • посмотреть список зараженных машин, с которых были украдены учетные данные для указанного сайта;
  • проверить рейтинг продавца
  • проверять теги, присвоенные продавцами, которые обычно включают дату заражения машины, а иногда и дополнительные примечания;
  • получить учетные данные для выбранных целей.

Единственным недостатком 2easy в KELA называют тот факт, что платформа не предоставляет потенциальным покупателям возможность предварительного просмотра товара, то есть отредактированных IP-адресов или версий ОС для устройств, откуда были похищены данные.

Каждый «лот», приобретенный на 2easy, поставляется в виде архива, в котором содержатся украденные логи выбранного бота. Тип контента в каждом случае зависит от конкретной малвари и ее возможностей. Однако в 50% случаев продавцы используют вредоноса RedLine, а он способен похищать пароли, файлы cookie, данные банковских карт, хранящиеся в браузерах, учетные данные от FTP и многое другое.

Пример дампа

Пять из восемнадцати продавцов, работающих на 2easy, используют исключительно RedLine, а остальные применяют и другую малварь, включая Raccoon Stealer, Vidar и AZORult.

Продавец 2easy хвалит RedLine

Аналитики KELA предупреждают, что такие логи, а также содержащаяся в них информация, зачастую становятся ключом для проникновения в корпоративные сети.

«Подобный пример можно было наблюдать во время атаки Electronic Arts, которая была раскрыта в июне 2021 года. Эта атака началась с того, что хакеры приобрели в интернете украденные файлы cookie всего за 10 долларов, и использовали их для получения доступа к Slack-каналу EA. Проникнув в Slack, хакеры успешно обманули одного из сотрудников EA, чтобы тот предоставил им токен многофакторной аутентификации, который позволил украсть исходные коды для ряда игр», — приводят пример исследователи.

Источник: xakep