Рынок брокеров первичного доступа и торговые площадки наподобие 2easy играют ключевую роль в экосистеме атак вымогателей.

Подпольная торговая площадка даркнета 2easy становится крупным игроком на рынке похищенных данных – в настоящее время она предлагает архивы (так называемые «логи») данных, собранных с 600 тыс. устройств с помощью инфостилеров.

«Логи» собираются из скомпрометированных web-браузеров или систем с помощью вредоносного ПО и как правило содержат данные учетных записей, cookie-файлы и сохраненные данные кредитных карт.

Торговая площадка 2easy была запущена в 2018 году и в течение последнего года стремительно разрослась от 28 тыс. устройств до 600 тыс.

Согласно анализу , проведенному исследователями израильской компании KELA, стремительный рост объясняется развитием платформы и стабильным качеством предложений, что привело к положительным отзывам в киберпреступном сообществе.

Торговая площадка полностью автоматизирована, а значит, покупатели могут создавать учетные записи, добавлять деньги в свои кошельки и совершать покупки, не взаимодействуя напрямую с продавцами.

Архивы данных можно купить по цене от $5 за штуку, что примерно в пять раз меньше, чем средняя цена на известной торговой площадке Genesis, и в три раза меньше, чем средняя стоимость журналов ботов на российском черном рынке.

Более того, на основе анализа отзывов на нескольких форумах в даркнете, «логи» 2easy постоянно предлагают действительные учетные данные, обеспечивающие доступ к сетям многих организаций.

Единственным недостатком 2easy по сравнению с другими рынками является то, что платформа не обеспечивает потенциальным покупателям предварительный просмотр товара (например, отредактированный IP-адрес или версия ОС на устройстве, с которого были украдены данные).

Каждый приобретенный на 2easy товар предоставляется в виде архивного файла, содержащего украденные «логи» от выбранного бота. Тип контента зависит от вредоносного ПО, использовавшегося для кражи информации, и его возможностей, поскольку каждая программа имеет свой набор функций.

Однако в 50% случаев в качестве предпочтительного вредоносного ПО продавцы используют RedLine, способное похищать пароли, cookie-файлы, сохраненные в web-браузерах кредитные карты, учетные данные FTP и многое другое.

Пять из 18 работающих на 2easy продавцов используют исключительно RedLine, а еще четыре используют его вместе с другими вредоносными программами, такими как Raccoon Stealer, Vidar и AZORult.

В настоящее время рынок брокеров первичного доступа находится на подъеме и напрямую связан с катастрофическими заражениями вымогательским ПО, и торговые площадки наподобие 2easy являются частью той же экосистемы.

Источник: securitylab