Рынок брокеров первичного доступа и торговые площадки наподобие 2easy играют ключевую роль в экосистеме атак вымогателей.
Подпольная торговая площадка даркнета 2easy становится крупным игроком на рынке похищенных данных – в настоящее время она предлагает архивы (так называемые «логи») данных, собранных с 600 тыс. устройств с помощью инфостилеров.
«Логи» собираются из скомпрометированных web-браузеров или систем с помощью вредоносного ПО и как правило содержат данные учетных записей, cookie-файлы и сохраненные данные кредитных карт.
Торговая площадка 2easy была запущена в 2018 году и в течение последнего года стремительно разрослась от 28 тыс. устройств до 600 тыс.
Согласно анализу , проведенному исследователями израильской компании KELA, стремительный рост объясняется развитием платформы и стабильным качеством предложений, что привело к положительным отзывам в киберпреступном сообществе.
Торговая площадка полностью автоматизирована, а значит, покупатели могут создавать учетные записи, добавлять деньги в свои кошельки и совершать покупки, не взаимодействуя напрямую с продавцами.
Архивы данных можно купить по цене от $5 за штуку, что примерно в пять раз меньше, чем средняя цена на известной торговой площадке Genesis, и в три раза меньше, чем средняя стоимость журналов ботов на российском черном рынке.
Более того, на основе анализа отзывов на нескольких форумах в даркнете, «логи» 2easy постоянно предлагают действительные учетные данные, обеспечивающие доступ к сетям многих организаций.
Единственным недостатком 2easy по сравнению с другими рынками является то, что платформа не обеспечивает потенциальным покупателям предварительный просмотр товара (например, отредактированный IP-адрес или версия ОС на устройстве, с которого были украдены данные).
Каждый приобретенный на 2easy товар предоставляется в виде архивного файла, содержащего украденные «логи» от выбранного бота. Тип контента зависит от вредоносного ПО, использовавшегося для кражи информации, и его возможностей, поскольку каждая программа имеет свой набор функций.
Однако в 50% случаев в качестве предпочтительного вредоносного ПО продавцы используют RedLine, способное похищать пароли, cookie-файлы, сохраненные в web-браузерах кредитные карты, учетные данные FTP и многое другое.
Пять из 18 работающих на 2easy продавцов используют исключительно RedLine, а еще четыре используют его вместе с другими вредоносными программами, такими как Raccoon Stealer, Vidar и AZORult.
В настоящее время рынок брокеров первичного доступа находится на подъеме и напрямую связан с катастрофическими заражениями вымогательским ПО, и торговые площадки наподобие 2easy являются частью той же экосистемы.
Источник: securitylab