Grupo de piratas &#39Keeper&#39 detrás de hacks en 570 tiendas en línea


keeper-magecart.png

Imagen: Gemini Advisory

Un grupo de piratas informáticos conocido como «Guardián» es responsable de las violaciones de seguridad en más de 570 portales de comercio electrónico en línea en los últimos tres años.

La pandilla Keeper irrumpió en los servidores de la tienda en línea, modificó su código fuente e insertó scripts maliciosos que registraban los datos de la tarjeta de pago ingresados ​​por los compradores en los formularios de pago.

Estos tipos de ataques son lo que la comunidad de ciberseguridad llama descremado website, e-skimming o intrusiones de «Magecart» (llamado así por el primer grupo de hackers que utilizó estas tácticas).

Keeper gang ha estado activo desde abril de 2017

En un informe publicado hoy por la firma de inteligencia de amenazas Gemini Advisory, la compañía dice que Keeper ha estado operando desde al menos abril de 2017, y continúa operando incluso hoy.

Gemini dijo que rastreó las actividades del grupo porque la pandilla Keeper usó los mismos paneles de management idénticos para los servidores backend donde recolectaron los detalles de la tarjeta de pago de las tiendas pirateadas.

keeper-backend.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/07/07/cac8e8b5-d59b-4237-8825-89bf3388c837/keeper-backend.png

Imagen: Gemini Advisory

Al tomar las huellas digitales de este panel de again-conclusion, Gemini pudo rastrear todas las actividades históricas de Keeper. Esto incluyó las ubicaciones de paneles de back-conclude anteriores, URL maliciosas utilizadas para alojar la infraestructura de piratería, pero también una lista de tiendas en línea pirateadas donde Keeper insertó sus scripts maliciosos.

Gemini dijo que casi el 85% de las 570 tiendas pirateadas se ejecutaban sobre la plataforma de comercio electrónico Magento. La mayoría de las tiendas eran operaciones pequeñas a medianas.

Basado en las clasificaciones de tráfico de Alexa de Amazon, Gemini dice que la gran mayoría de las tiendas eran operaciones a pequeña escala, pero que Keeper también alcanzó algunos nombres importantes, sitios que atrajeron entre 500,000 y 1,000,000 de visitantes mensuales. Una lista de los sitios mejor clasificados hackeados por la pandilla Keeper está disponible a continuación:

keeper-list.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/07/07/b1d6a942-bd84-45f0-be99-b9d4c9b2a645/keeper-list.png

A single Keeper backend filtró datos de la tarjeta de usuario

Además, el equipo asesor de Gemini dijo que mientras investigaban la infraestructura de la pandilla Keeper, también descubrieron que la pandilla no pudo asegurar adecuadamente uno de sus paneles de again-stop donde los piratas informáticos enviaron los detalles de la tarjeta de pago recopilados de las tiendas en línea.

Keeper dice que pudo recuperar registros del backend con fugas que contenía alrededor de 184,000 detalles de tarjetas de pago que la pandilla Keeper recopiló entre julio de 2018 y abril de 2019.

«Según el número proporcionado de tarjetas recolectadas durante un período de nueve meses, y teniendo en cuenta las operaciones del grupo desde abril de 2017, Gemini estima que probablemente ha recolectado cerca de 700,000 tarjetas comprometidas», dijeron los expertos de Gemini en un informe compartido hoy con ZDNet.

«Dado el precio medio actual de la web oscura de $ 10 por tarjeta Card Not Existing (CNP) comprometida, este grupo probablemente ha generado más de $ 7 millones de dólares por el robo y la venta de tarjetas de pago comprometidas en toda su vida útil».

El informe Gemini Advisory contiene la lista completa de todos los 570+ sitios que la pandilla Keeper hackeó desde abril de 2017.

Recorded Upcoming, una de las compañías de inteligencia de amenazas más grandes en el mercado de seguridad cibernética, también anunció hoy que adquirió una participación minoritaria en Gemini Advisory.



Enlace a la noticia initial