Los tres principales foros rusos sobre ciberdelincuencia pirateados: Krebs on Security


En las últimas semanas, se han pirateado tres de los foros en línea en ruso más venerados y de más larga duración que atienden a miles de ciberdelincuentes experimentados. En dos de las intrusiones, los atacantes se llevaron las bases de datos de usuarios de los foros, incluidas las direcciones de correo electrónico e World wide web y las contraseñas hash. A los miembros de los tres foros les preocupa que los incidentes puedan servir como una piedra de Rosetta virtual para conectar las identidades de la vida serious de los mismos usuarios en múltiples foros sobre delitos.

Las referencias a la foundation de datos filtrada del foro sobre delitos de Mazafaka se publicaron en línea en las últimas 48 horas.

El martes, alguien arrojó miles de nombres de usuario, direcciones de correo electrónico y contraseñas confusas en la website oscura aparentemente robadas Mazafaka (también conocido como «Maza, «»MFclub“), Un foro exclusivo sobre el crimen que durante más de una década ha acogido a algunos de los ladrones cibernéticos rusos más experimentados e infames.

En la parte excellent de un PDF de 35 páginas filtrado en línea hay una clave de cifrado privada supuestamente utilizada por los administradores de Maza. La foundation de datos también incluye números ICQ para muchos usuarios. ICQ, también conocida como «Te busco», period una plataforma de mensajería instantánea en la que confiaban innumerables habitantes de estos foros de delitos más antiguos antes de que su uso pasara de moda en favor de redes más privadas, como Farfullar y Telegrama.

Esto es noteworthy porque los números de ICQ vinculados a cuentas específicas a menudo son un punto de datos confiable que los investigadores de seguridad pueden usar para conectar varias cuentas al mismo usuario en muchos foros y diferentes apodos a lo largo del tiempo.

Firma de inteligencia cibernética Intel 471 evalúa que la foundation de datos de Maza filtrada es legítima.

“El archivo constaba de más de 3.000 filas, que contenían nombres de usuario, hashes de contraseñas parcialmente ofuscados, direcciones de correo electrónico y otros detalles de contacto”, encontró Intel 471, y señaló que los visitantes del foro de Maza ahora son redirigidos a una página de anuncio de infracción. «El análisis inicial de los datos filtrados apuntó a su possible autenticidad, ya que al menos una parte de los registros de usuarios filtrados se correlacionan con nuestras propias existencias de datos».

El ataque a Maza se develop pocas semanas después de que otro importante foro criminal ruso fuera saqueado. El 20 de enero, un antiguo administrador del foro de idioma ruso Verificado reveló que el registrador de dominios de la comunidad había sido pirateado y que el dominio del sitio fue redirigido a un servidor de Internet controlado por los atacantes.

Una nota publicada por un administrador de foro verificado sobre el hackeo de su registrador en enero.

“Nuestra billetera (bitcoin) se ha roto. Afortunadamente, no guardamos grandes cantidades en él, pero este es un incidente desagradable de todos modos. Una vez que las circunstancias quedaron claras, el administrador asumió que TEÓRICAMENTE, todas las cuentas del foro podrían haber sido comprometidas (la probabilidad es baja, pero está ahí). En nuestro negocio, es mejor actuar de forma segura. Entonces, decidimos restablecer los códigos de todos. Esto no es gran cosa. Simplemente escríbalos y utilícelos de ahora en adelante «.

Poco tiempo después, el administrador actualizó su publicación, diciendo:

“Estamos recibiendo mensajes de que las bases de datos del foro fueron robadas después de todo cuando el foro fue pirateado. Las contraseñas de las cuentas de todos se restablecieron a la fuerza. Transmita esta información a las personas que conoce. El foro fue pirateado a través del registrador de dominios. Primero se pirateó el registrador, luego se cambiaron los servidores de nombres de dominio y se detectó el tráfico «.

El 15 de febrero, el administrador publicó un mensaje supuestamente enviado en nombre de los intrusos, que afirmaban que habían pirateado el registrador de dominios de Confirmed entre el 16 y el 20 de enero.

“Debería estar claro a estas alturas que la administración del foro no hizo un trabajo aceptable con la seguridad de todo esto”, explicó el atacante. “Lo más possible es que solo por pereza o incompetencia, renunciaron a todo. Pero la principal sorpresa para nosotros fue que guardaron todos los datos del usuario, incluidas cookies, referencias, direcciones IP de los primeros registros, análisis de inicio de sesión y todo lo demás «.

Otras fuentes indican que se robaron decenas de miles de mensajes privados entre usuarios verificados, incluida información sobre depósitos y retiros de bitcoins y contactos privados de Jabber.

El compromiso de Maza y Confirmed, y posiblemente un tercer foro importante, tiene a muchos miembros de la comunidad preocupados de que sus identidades de la vida true puedan verse expuestas. Explotar – quizás el siguiente foro ruso más grande y más well known después de Verified, también experimentó un aparente compromiso esta semana.

Según Intel 471, el 1 de marzo de 2021, el administrador del foro de delitos cibernéticos Exploit afirmó que un servidor proxy utilizado por el foro para la protección contra ataques distribuidos de denegación de servicio (DDoS) podría haber sido comprometido por una parte desconocida. El administrador declaró que el 27 de febrero de 2021, un sistema de monitoreo detectó acceso de shell seguro no autorizado al servidor y un intento de volcar el tráfico de la crimson.

Algunos merodeadores de foros han especulado que estos compromisos recientes se sienten como el trabajo de alguna agencia de espionaje del gobierno.

“Solo los servicios de inteligencia o las personas que saben dónde están ubicados los servidores pueden llevar a cabo este tipo de cosas”, reflexionó uno de los pilares de Exploit. “Tres foros en un mes es simplemente extraño. No creo que fueran piratas informáticos habituales. Alguien está arruinando foros a propósito «.

Otros se preguntan en voz alta qué foro será el próximo y lamentan la pérdida de confianza entre los usuarios que podría ser perjudicial para los negocios.

“Quizás funcionen de acuerdo con la siguiente lógica”, escribió un usuario de Exploit. «No habrá foros, no habrá confianza entre todos, menos cooperación, más difícil encontrar socios, menos ataques».


Etiquetas: Hack de exploits, Intel 471, Maza, Hack de Mazafaka, MFclub, Hack verificado

Esta entrada se publicó el jueves 4 de marzo de 2021 a las 10:01 am y está archivada en Ne&#39er-Do-Nicely News.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original