1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. El FBI Incauta la Tienda de Bots 'Genesis Market' En Medio De Arrestos Dirigidos A Operadores y Proveedores

El FBI Incauta la Tienda de Bots 'Genesis Market' En Medio De Arrestos Dirigidos A Operadores y Proveedores

Varios nombres de dominio vinculados a Mercado Génesis, una bulliciosa tienda de delitos cibernéticos que vendía acceso a contraseñas y otros datos robados de millones de computadoras infectadas con software malicioso, fueron incautados por el Oficina Federal de Investigaciones (FBI) hoy. Las fuentes le dicen a KrebsOnSecurity que las incautaciones de dominios coincidieron con "docenas" de arrestos en los Estados Unidos y en el extranjero dirigidos a quienes supuestamente operaban el servicio, así como a proveedores que alimentaban continuamente a Genesis Market con datos recién robados.

Varios sitios web vinculados a la tienda de delitos cibernéticos Genesis Market cambiaron sus páginas de inicio hoy a este aviso de incautación.

Activo desde 2018, el eslogan de Genesis Market ha sido durante mucho tiempo: "Nuestra tienda vende bots con registros, cookies y sus huellas dactilares reales."Los clientes pueden buscar sistemas infectados con una variedad de opciones, incluso por dirección de Internet o por nombres de dominio específicos asociados con credenciales robadas.

Pero el día de hoy, múltiples dominios asociados con Genesis reemplazaron sus páginas de inicio con un aviso de incautación del FBI, que decía que los dominios fueron incautados de conformidad con una orden emitida por el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Wisconsin.

La Oficina del Fiscal Federal para el Distrito Este de Wisconsin no respondió a las solicitudes de comentarios. El FBI declinó hacer comentarios.

Pero fuentes cercanas a la investigación le dicen a KrebsOnSecurity que las agencias de aplicación de la ley en los Estados Unidos, Canadá y en toda Europa están cumpliendo órdenes de arresto contra docenas de personas que se cree que apoyan a Genesis, ya sea manteniendo el sitio o vendiendo los registros de bot de servicio de los sistemas infectados.

El aviso de incautación incluye los sellos de las entidades encargadas de hacer cumplir la ley de varios países, incluidos Australia, Canadá, Dinamarca, Alemania, los Países Bajos, España, Suecia y el Reino Unido.

Cuando los clientes de Genesis compran un bot, están comprando la capacidad de tener todas las cookies de autenticación de la víctima cargadas en su navegador, de modo que se pueda acceder a las cuentas en línea que pertenecen a esa víctima sin la necesidad de una contraseña, o en algunos casos incluso autenticación multifactor.

"¡Puedes comprar un bot con una huella digital real, acceso al correo electrónico, redes sociales, cuentas bancarias, sistemas de pago!, "un anuncio de foro de cibercrimen para Genesis entusiasmado. "También obtienes toda la vida digital anterior (historial) del bot: la mayoría de los servicios ni siquiera te pedirán nombre de usuario y contraseña ni te identificarán como su cliente habitual. Al comprar un kit de bot con la huella digital, las cookies y los accesos, usted se convierte en el usuario único de todos sus servicios y otros sitios web. El otro uso de nuestro kit de huellas dactilares reales es encubrir los rastros de su actividad real en Internet.”

La tienda Genesis tenía más de 450,000 bots a la venta a partir de marzo. 21, 2023. Imagen: KrebsOnSecurity.

Los precios de los bots Genesis variaron bastante, pero en general los bots con grandes cantidades de contraseñas y cookies de autenticación, o aquellos con acceso a sitios web financieros específicos como PayPal y Coinbase - tendían a alcanzar precios mucho más altos.

Firma de inteligencia cibernética con sede en Nueva York Punto de Inflamación dice que además de contener una gran cantidad de recursos, los bots más caros parecen tener acceso abrumadoramente a cuentas que son fáciles de monetizar.

"Se espera la alta incidencia de Google y Facebook, ya que son plataformas muy utilizadas", señaló Flashpoint en un análisis de Genesis Market, observando que los diez bots más caros en ese momento incluían credenciales de Coinbase.

Genesis Market ha introducido una serie de innovaciones cibercriminales a lo largo de su existencia. Probablemente el mejor ejemplo es Seguridad de Génesis, que es un complemento de navegador web personalizado que puede cargar un perfil de Genesis bot para que el navegador imite prácticamente todos los aspectos importantes del dispositivo de la víctima, desde el tamaño de la pantalla y la frecuencia de actualización hasta la cadena de agente de usuario única vinculada al navegador web de la víctima.

Flashpoint dijo que los administradores de Genesis Market afirman que son un equipo de especialistas con " amplia experiencia en el campo de las métricas de sistemas."Dicen que desarrollaron el software de seguridad Genesis analizando los cuarenta y siete principales sistemas de seguimiento y huellas digitales del navegador, así como los utilizados por 283 sistemas bancarios y de pago diferentes.

Los expertos en ciberseguridad dicen que Genesis y un puñado de otras tiendas de bots también son populares entre los ciberdelincuentes que trabajan para identificar y comprar bots dentro de las redes corporativas, y luego dar la vuelta y revender ese acceso a las pandillas de ransomware.

Michael Debolt, director de inteligencia de Intel 471, dichos llamados "corredores de acceso a la red" rastrearán las tiendas de bots automatizadas en busca de objetivos de alto valor y luego los revenderán para obtener mayores ganancias.

"De los registros' usados 'o' procesados', en realidad es bastante común que el mismo registro sea utilizado por múltiples actores diferentes que lo usan para diferentes propósitos, por ejemplo, algunos actores solo están interesados en la billetera criptográfica o las credenciales bancarias, por lo que omiten las credenciales en las que están interesados los corredores de acceso a la red", dijo Debolt. "Estos corredores de acceso a la red compran estos registros 'usados' a muy bajo precio (o, a veces, gratis) y buscan objetivos de peces grandes desde allí.”

En junio de 2021, los piratas informáticos que irrumpieron y robaron una gran cantidad de código fuente y datos de juegos del gigante de los juegos de computadora EA le dijo a la Placa Base obtuvieron acceso comprando un bot de Genesis 10 de Genesis Market que les permitía iniciar sesión en una cuenta de Slack de la empresa.

Una característica de Genesis que lo distingue de otras tiendas de bots es que los clientes pueden conservar el acceso a los sistemas infectados en tiempo real, de modo que si el propietario legítimo de un sistema infectado crea una nueva cuenta en línea, esas nuevas credenciales serán robadas y mostradas en el panel basado en la web del cliente de Genesis que compró ese bot.

"Mientras que algunos infostealers están diseñados para eliminarse después de la ejecución, otros crean un acceso persistente", dice un informe de marzo de 2023 de la firma de ciberseguridad SpyCloud. "Eso significa que los malos actores tienen acceso a los datos actuales mientras el dispositivo permanezca infectado, incluso si el usuario cambia las contraseñas.

SpyCloud dice que Genesis incluso anuncia su compromiso de mantener actualizados los datos robados y las huellas dactilares de los sistemas comprometidos.

"Según nuestra investigación, Genesis Market tenía más de 430,000 identidades robadas a la venta a principios del año pasado, y hay muchos otros mercados como este", concluye el informe de SpyCloud.

Esta es una historia en desarrollo. Cualquier actualización se agregará con aviso y marca de tiempo aquí.



>>Más