Una tienda de cibercrimen está vendiendo acceso a más de 43,000 servidores pirateados


magbo.png

Portada de Magbo

ZDNet

MagBo, un sombrío mercado en línea donde los piratas informáticos venden y compran servidores pirateados, está mejor que nunca y ha aumentado su popularidad para convertirse en el mayor mercado legal de este tipo desde su lanzamiento en el verano de 2018.

Dos años después, el portal MagBo ha crecido más de 14 veces y actualmente vende acceso a más de 43,000 sitios net pirateados, en comparación con los 3,000 sitios listados en septiembre de 2018.

Hoy, MagBo se ha convertido en el mercado de facto para muchas operaciones de delitos informáticos. Algunos grupos se registran en la plataforma MagBo para vender servidores pirateados, mientras que otros solo están allí para comprar.

Aquellos que compran, lo hacen a granel (para Search engine marketing de sombrero negro o para distribución de malware) o de forma selectiva, para intrusiones en objetivos de alto valor (tiendas de comercio electrónico para skimming internet, intranets para ransomware).

Con todo, la plataforma MagBo ya no se puede ignorar, ya que parece estar aquí para quedarse, y se está colocando en el corazón de muchas de las operaciones de cibercrimen de hoy.

Este artículo está basado en Un informe de la firma de inteligencia de amenazas KELA sobre la evolución reciente de MagBo. La semana pasada, KELA proporcionó a ZDNet acceso a su plataforma de búsqueda de amenazas para buscar en los listados de MagBo.

Antes de profundizar en lo que encontraron KELA y ZDNet, los lectores necesitarán una introducción al panorama real del delito cibernético y el lugar de MagBo en la economía subterránea.

El estado true de la economía del delito cibernético.

La venta de datos pirateados ha existido durante décadas. Lo que la mayoría de los usuarios no saben es que la economía subterránea ha evolucionado en un patrón casi idéntico a la evolución del comercio electrónico moderno.

En los primeros días, los hackers usaban canales IRC y clientes de mensajería instantánea para vender información pirateada. Luego, las cosas se convirtieron en anuncios publicados en foros y luego bandas criminales comenzaron a crear y administrar sus propias tiendas en línea.

Durante la última década, el mercado subterráneo se ha puesto al día con el mundo authentic, y ahora tenemos «mercados» similares a Amazon o eBay, donde los piratas informáticos registran cuentas para vender y comprar productos al mismo tiempo, alimentando un mercado de oferta y demanda en el proceso.

Hoy en día, tenemos mercados que venden acceso a servidores pirateados, mercados para vender acceso a computadoras pirateadas (comprometidas por malware de botnet), mercados para detalles de tarjetas de pago robadas y mercados para vender información individual robada durante violaciones de datos, cada uno más profesional que el siguiente.

¿Qué es magbo?

MagBo es el principal mercado de hoy para servidores pirateados.

El sitio se ejecuta en Web público, pero el acceso está restringido a los miembros aprobados. Necesita una invitación para poder registrar un perfil en MagBo, y para obtener una invitación, debe ser referido por un miembro del sitio.

El sitio se lanzó alrededor de junio de 2018, e inicialmente comenzó como cualquier otro servicio de cibercrimen, es decir, publicitándose en varios foros de piratería.

magbo-ad.png "src =" https://zdnet3.cbsistatic.com/hub/i/2018/09/19/d376693b-68c6-4082-ae48-e08369bea31a/magbo-ad.png

Anuncio de Magbo en un foro de piratería

ZDNet

De acuerdo con varios anuncios vistos por ZDNet, el sitio se anunciaba a sí mismo como un portal donde otros grupos de ciberdelincuencia podían comprar acceso a servidores web que fueron pirateados y tenían un shell net instalado en su sistema de archivos.

Los shells world-wide-web son programas maliciosos que los hackers instalan en los servidores world-wide-web. Proporcionan una interfaz visual que los hackers pueden usar para interactuar con el servidor pirateado y su sistema de archivos. La mayoría de los shells internet vienen con funciones que permiten a los hackers renombrar, copiar, mover, editar o cargar nuevos archivos en un servidor. También se pueden usar para cambiar los permisos de archivos y directorios, o archivar y descargar (robar) datos del servidor.

Inicialmente, el servicio se lanzó con una colección de más de 1,500 shells net sin embargo, en septiembre de 2018, Flashpoint informó que este número había aumentado a 3.000 sistemas, ya que otros piratas informáticos acudieron en masa para crear cuentas y vender su propio «inventario de shell website».

MagBo intentó diversificar sus listados iniciales de shell world wide web al agregar soporte para vender otros tipos de acceso, como el acceso a la cuenta CMS de un servidor, el acceso a la cuenta del panel de alojamiento de un servidor, el acceso a la cuenta SSH de un servidor y el acceso a un SQL del sitio foundation de datos.

Sin embargo, hoy en día, los shells web siguen siendo el principal producto de MagBo, y representan el 90% de los listados del sitio, según KELA.

magbo-breakdown.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/14/32c6c3e7-d308-4872-83ed-4d38171f5cec/magbo-breakdown.png

Imagen: KELA

A lo largo de los años, el sitio ha crecido, por decirlo de alguna manera. Desde su lanzamiento en 2018, KELA dice que el sitio ha vendido acceso a más de 150,000 sitios, de los cuales 43,000 aún están a la venta a partir de esta semana.

El gerente de productos de KELA, Raveed Laeb, dice que han rastreado a 190 actores de amenazas diferentes que venden servidores pirateados en el sitio.

Según los listados históricos de servidores y sus precios asociados, Laeb cree que los operadores de MagBo podrían haber obtenido más de $ 750,000 en ingresos por la venta de servidores pirateados en el sitio.

magbo-numbers.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/14/a98d0610-58c9-4024-b428-770b76c1c1ac/magbo-numbers.png

Imagen: KELA

Pero MagBo no es único. Otras tiendas como esta han existido antes, y todavía se están creando y lanzando, con poco o ningún éxito.

Laeb cree que la razón por la que MagBo ha arrinconado el mercado es que, a diferencia de muchos otros mercados similares, la tienda no oculta detalles sobre los servidores pirateados.

Mientras que otras tiendas ocultan nombres de dominio para evitar que otros hackers se apoderen de los mismos servidores / sistemas, MagBo enumera las URL no tituladas y los títulos de los sitios, para que los compradores puedan tener una plan de lo que están obteniendo.

magbo-listing.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/14/a5a49e27-17d3-4f0f-980d-d7bca37edf8e/magbo-listing.png

Imagen: KELA

Además de esto, MagBo también muestra el nivel de acceso y permisos que tiene el shell world-wide-web, lo que ayuda a otros servidores de identidad de bandas criminales que pueden usar para su tipo specific de operaciones.

Por ejemplo, MagBo enumera si el shell world wide web tiene acceso a la función de correo del servidor, lo que permite a los operadores de spam alquilar servidores que pueden poner a trabajar de inmediato.

Además, MagBo también enumera los servidores pirateados donde el shell world wide web puede editar archivos, una característica que el skimming web (Magecart) y las pandillas de Search engine optimization de sombrero negro a menudo requieren.

Tal nivel de granularidad es lo que ha contribuido al ascenso de MagBo a la fama, es lo que ayudó a mantener felices a los clientes del sitio y ha atraído a otros nuevos a través de referencias.

Todo para todos

Pero KELA dice que el éxito del sitio también se puede atribuir a un suministro constante de nuevo inventario. Se agregan diariamente entre 200 y 400 sitios nuevos, con alrededor de 200 vendidos.

La mayoría de los listados de MagBo que revisó ZDNet son de sitios de WordPress. Algunos de los sitios de WordPress que figuran en MagBo se ejecutan en versiones obsoletas y utilizan complementos obsoletos, de acuerdo con los análisis básicos realizados por ZDNet.

Esto no es una sorpresa ya que los sitios de WordPress antiguos y obsoletos han estado bajo ataques constantes durante años, principalmente debido a la popularidad del CMS de WordPress.

En los últimos años, ha habido informes de varias empresas de ciberseguridad sobre ataques en sitios de WordPress donde los intrusos no hicieron nada. Los hackers simplemente irrumpirían en un sitio, dejarían un shell world wide web y luego se irían.

Sabiendo lo que sabemos ahora sobre el aumento de la popularidad de MagBo, es muy possible que algunos de estos sitios pirateados estén listados en MagBo, esperando a un comprador.

Si bien ZDNet no pudo revisar todos los listados de MagBo, principalmente debido al tamaño de la tienda, hemos visto sitios internet comprometidos de todo tipo de sitios website. Esto incluye sitios internet oficiales del gobierno, portales para instituciones educativas, sitios para pequeñas empresas e incluso sitios para instituciones financieras y de seguros.

KELA dice que el precio de venta de estos sitios generalmente varía según el tipo de sitio world wide web. Por ejemplo, un sitio net de una pequeña empresa del que nadie escuchó iría por algo tan pequeño como unos pocos centavos, mientras que un portal oficial del ministerio gubernamental costará hasta $ 10,000.

Bajando por el camino xDedic

Lo que estamos viendo aquí con MagBo es comparable a xDedic, otro mercado de delitos informáticos, pero especializado en vender acceso a puntos finales RDP pirateados.

Al igual que MagBo, xDedic creció de un pequeño portal a un inventario de alrededor de 85,000 y se convirtió en una pieza central del paisaje del delito cibernético.

El sitio se hizo ampliamente utilizado por las pandillas de ransomware, que compraron acceso a servidores RDP pirateados de xDedic, redes corporativas infiltradas y rescataron compañías por enormes sumas de dinero.

Una vez que xDedic se convirtió en una pieza central en el mundo del delito cibernético, el sitio fue objeto de una investigación policial y se cerró en enero de 2019.

Puede que MagBo no sea tan popular como xDedic, pero el sitio está aumentando en popularidad. Además, con el aumento de los ataques de desnatado world wide web (Magecart) y las pérdidas financieras que estos ataques causan a bancos y consumidores, sitios como MagBo, que venden acceso a tiendas en línea basadas en WordPress, pronto encontrarán su camino en la mira de los funcionarios encargados de hacer cumplir la ley. .



Enlace a la noticia initial