Một hoạt động thực thi pháp luật quốc tế phối hợp đã phá bỏ Genesis Market, một thị trường trực tuyến bất hợp pháp chuyên bán thông tin đăng nhập bị đánh cắp liên quan đến email, tài khoản ngân hàng và nền tảng truyền thông xã hội.
Cùng với việc tịch thu cơ sở hạ tầng, cuộc đàn áp lớn, có sự tham gia của chính quyền từ 17 quốc gia, lên đến đỉnh điểm với 119 vụ bắt giữ và 208 vụ khám xét tài sản ở 13 quốc gia. Tuy nhiên, gương .onion của thị trường dường như vẫn hoạt động.
Cuộc diễn tập thực thi pháp luật “chưa từng có” đã được đặt mật danh Chiến dịch quái vật bánh quy.
Genesis Market, kể từ khi thành lập vào tháng 3 năm 2018, đã phát triển thành một trung tâm lớn cho các hoạt động tội phạm, cung cấp quyền truy cập vào dữ liệu bị đánh cắp từ hơn 1,5 triệu máy tính bị xâm nhập trên toàn thế giới với tổng số hơn 80 triệu thông tin đăng nhập.
Phần lớn các trường hợp lây nhiễm phần mềm độc hại liên quan đến Genesis Market đã được phát hiện ở Hoa Kỳ, Mexico, Đức, Thổ Nhĩ Kỳ, Thụy Điển, Ý, Pháp, Tây Ban Nha, Ba Lan, Ukraine, Ả Rập Saudi, Ấn Độ, Pakistan và Indonesia, trong số những quốc gia khác, theo dữ liệu được thu thập bởi Trellix.
Một số họ phần mềm độc hại nổi bật được phân phối thông qua dịch vụ để xâm phạm nạn nhân bao gồm AZORult, Raccoon, RedLine và DanaBot, tất cả đều có khả năng đánh cắp thông tin nhạy cảm từ hệ thống của người dùng. Cũng được phân phối thông qua DanaBot là một tiện ích mở rộng lừa đảo của Chrome được thiết kế để hút dữ liệu trình duyệt.
“Thông tin đăng nhập tài khoản được quảng cáo để bán trên Genesis Market bao gồm những thông tin được kết nối với lĩnh vực tài chính, cơ sở hạ tầng quan trọng và các cơ quan chính quyền liên bang, tiểu bang và địa phương”, Bộ Tư pháp Hoa Kỳ (DoJ) cho biết trong một tuyên bố.
DoJ gọi Genesis Market là một trong những “nhà môi giới truy cập ban đầu (IAB) sung mãn nhất trong thế giới tội phạm mạng.”
Bên cạnh thông tin đăng nhập, Genesis cũng bán dấu vân tay của thiết bị – bao gồm số nhận dạng duy nhất và cookie của trình duyệt – để giúp các tác nhân đe dọa phá vỡ hệ thống phát hiện chống gian lận được sử dụng bởi nhiều trang web.
DoJ cho biết thêm: “Sự kết hợp của thông tin đăng nhập, dấu vân tay và cookie bị đánh cắp cho phép người mua nhận dạng nạn nhân bằng cách lừa các trang web bên thứ ba nghĩ rằng người dùng Genesis Market là chủ sở hữu thực sự của tài khoản”.
Các tài liệu của tòa án tiết lộ rằng Cục Điều tra Liên bang Hoa Kỳ (FBI) đã có quyền truy cập vào các máy chủ phụ trợ của Genesis Market hai lần vào tháng 12 năm 2020 và tháng 5 năm 2022, cho phép cơ quan này truy cập thông tin liên quan đến khoảng 59.000 người dùng chợ tội phạm mạng.
Theo Europol và Eurojust, các gói thông tin bị đánh cắp được thu thập từ các máy tính bị nhiễm (hay còn gọi là “bot”) đã được bán với giá từ 0,7 đô la đến vài trăm đô la tùy thuộc vào bản chất của dữ liệu.
“Cái đắt nhất sẽ chứa thông tin tài chính cho phép truy cập vào tài khoản ngân hàng trực tuyến”, Europol lưu ý, cho biết bọn tội phạm mua dữ liệu cũng được cung cấp các công cụ bổ sung để sử dụng nó mà không thu hút sự chú ý.
“Người mua được cung cấp một trình duyệt tùy chỉnh bắt chước trình duyệt của nạn nhân. Điều này cho phép bọn tội phạm truy cập vào tài khoản của nạn nhân mà không cần kích hoạt bất kỳ biện pháp bảo mật nào từ nền tảng mà tài khoản đó đang sử dụng.”
Trình duyệt dựa trên Chromium độc quyền, được gọi là trình duyệt Genesium, đa nền tảng, với những người bảo trì tuyên bố các tính năng như “lướt web ẩn danh” và các chức năng nâng cao khác cho phép người dùng vượt qua các hệ thống chống gian lận.
Genesis Market, không giống như Hydra và các thị trường bất hợp pháp khác, cũng có thể truy cập được qua Clearnet, do đó hạ thấp rào cản gia nhập đối với những kẻ đe dọa có kỹ năng kém hơn đang tìm cách lấy danh tính kỹ thuật số để xâm phạm tài khoản cá nhân và hệ thống doanh nghiệp.
Việc triệt phá dự kiến sẽ có “hiệu ứng gợn sóng trong toàn bộ nền kinh tế ngầm” khi các tác nhân đe dọa tìm kiếm các giải pháp thay thế để lấp đầy khoảng trống mà Genesis Market để lại.
Genesis Market là dịch vụ mới nhất trong một chuỗi dài các dịch vụ bất hợp pháp đã bị cơ quan thực thi pháp luật gỡ xuống. Nó cũng đến đúng một năm sau khi Hydra bị phá hủy, bị cơ quan thực thi pháp luật triệt hạ vào tháng 4 năm 2022 và tạo ra một “sự thay đổi địa chấn trong bối cảnh thị trường darknet nói tiếng Nga.”
“Gần một năm sau khi Hydra gỡ xuống, năm thị trường — Mega, Blacksprut, Solaris, Kraken và OMG! OMG! Market — đã nổi lên như những người chơi lớn nhất dựa trên số lượng chào bán và số lượng người bán,” Flashpoint cho biết trong một báo cáo mới. báo cáo.
Sự phát triển này cũng diễn ra sau sự ra mắt của một thị trường dark web mới được gọi là STYX, chủ yếu hướng đến gian lận tài chính, rửa tiền và đánh cắp danh tính. Nó được cho là đã mở cửa vào khoảng ngày 19 tháng 1 năm 2023.
“Một số ví dụ về các dịch vụ cụ thể được cung cấp trên thị trường STYX bao gồm dịch vụ rút tiền, kết xuất dữ liệu, thẻ SIM, DDOS, bỏ qua 2FA/SMS, tài liệu ID giả mạo và bị đánh cắp, phần mềm độc hại ngân hàng, v.v”, Resecurity cho biết trong một bài viết chi tiết .
Giống như Genesis Market, STYX cũng cung cấp các tiện ích được thiết kế để vượt qua các giải pháp chống gian lận và truy cập vào các tài khoản bị xâm phạm bằng cách sử dụng các mã định danh kỹ thuật số chi tiết như tệp cookie bị đánh cắp, dữ liệu thiết bị vật lý và cài đặt mạng để giả mạo thông tin đăng nhập hợp pháp của khách hàng.
Sự xuất hiện của STYX như một nền tảng mới trong hệ sinh thái tội phạm mạng thương mại là một dấu hiệu khác cho thấy thị trường dịch vụ bất hợp pháp tiếp tục là một ngành kinh doanh hiệu quả, cho phép những kẻ xấu kiếm lợi từ hành vi trộm cắp thông tin xác thực và dữ liệu thanh toán.
“Phần lớn các nhà cung cấp STYX Marketplace chuyên về các dịch vụ lừa đảo và rửa tiền nhắm mục tiêu vào các nền tảng ngân hàng kỹ thuật số phổ biến, thị trường trực tuyến, thương mại điện tử và các ứng dụng thanh toán khác”, Resecurity lưu ý. “Các khu vực địa lý mà các tác nhân đe dọa này nhắm đến là toàn cầu, bao gồm Hoa Kỳ, EU, Vương quốc Anh, Canada, Úc và nhiều quốc gia ở APAC và Trung Đông.”
