Genesis IAB Marketplace lleva el polaco a la Dim Web



El papel cada vez mayor de los llamados intermediarios de acceso inicial (IAB) en la economía clandestina del ciberdelito se refleja en la evolución de Genesis Market, uno de los primeros mercados completos para IAB, que se ha vuelto más sofisticado y pulido con el tiempo.

A reporte
Esta semana, Sophos analiza exhaustivamente Genesis, que comenzó en 2017 y ofrece a los actores malintencionados acceso a los datos de otras personas, desde credenciales y cookies hasta huellas digitales, a través de su mercado solo por invitación.

Genesis actualmente enumera más de 400,000 bots (sistemas comprometidos) en más de 200 países, con Italia, Francia y España encabezando la lista de países afectados.

El mercado proporciona no solo los datos en sí, sino también herramientas bien mantenidas para facilitar el (mal) uso de esos datos. Esas herramientas se extienden a ofertas anti-detección a medida que ayudan a sus clientes a permanecer bajo el radar cuando implementan credenciales robadas para acceder a bots específicos, incluida una extensión de Google Chrome e incluso un navegador Genesium «continuamente mantenido y actualizado» en oferta.

«La mayoría de los atacantes, especialmente los menos experimentados, no quieren perder tiempo ni esfuerzo en las fases de reconocimiento e infiltración de un ataque», explica Angela Gunn, investigadora de amenazas de Sophos. «La madurez de Genesis, tanto la facilidad de uso como la vibra de solo consultas serias que vienen con acceso restringido, habla de no perder tiempo ni esfuerzo».

El servicio se determine por el alto nivel de calidad de los datos que se ofrecen, así como por el compromiso del sitio de mantener actualizada la información robada.

Esto significa que los piratas informáticos que pagan por la información robada son informados por Génesis de cuándo esa información cambia o se actualiza. A los usuarios se les cobra una tarifa acorde basada en el volumen de información que tiene sobre el bot objetivo.

«Por ejemplo, el único conjunto de credenciales que condujo a la violación de datos de EA en junio de 2021, que permitió a los atacantes ingresar al sistema de EA a través de Slack del gigante de los juegos, se compró en Genesis por $ 10», según el informe.

Genesis también ofrece a su clientela un nivel de servicio al cliente y pulido de interfaz de usuario (UI) que Sophos describe como «lejos de los viejos tiempos de las interfaces 133tsp34k y Matrix-wannabe». Esto incluye una interfaz elegante y contemporánea, una página de preguntas frecuentes (FAQ) y soporte técnico multilingüe.

Los usuarios que regresan también tienen acceso a un tablero con información actualizada sobre los sistemas comprometidos que han accedido.

«El hecho de que Genesis realmente tenga una función de servicio al cliente es una declaración que refuerza la seriedad de la operación», señala Gunn.

Los IAB se vuelven más profesionales a medida que aumenta la demanda

La evolución de Génesis apunta a la «creciente profesionalización y especialización» de la economía del cibercrimen, señala el informe.

Se supone que los grupos de ransomware y los afiliados son los clientes más frecuentes del servicio, en unique los delincuentes que buscan un sitio de IAB que les brinde acceso acelerado y movimiento lateral más rápido a sus objetivos.

Gunn explica que la «Net oscura», que por supuesto no es solo una cosa, se ha estado profesionalizando desde hace un tiempo.

«La investigación de antecedentes de los solicitantes, la búsqueda sólida, el soporte técnico, los desarrolladores y los diseñadores: ese trabajo no se realiza de forma gratuita», agrega. «Pagar por ese trabajo demuestra cuán altas son las ganancias en este ámbito».

Un alto nivel de organización también distingue al mercado de Genesis, brindando a los actores maliciosos más información contextual sobre los datos robados y permitiéndoles una mayor comprensión de los sistemas comprometidos. De hecho, esto podría estimular vectores de ataque aún más ingeniosos.

«Por ejemplo, un guide de darknet que encontramos durante una investigación reciente sugiere a otros delincuentes que usen datos complementarios de Génesis para sacar a las víctimas de sus cuentas si las credenciales robadas ya no son válidas», según el informe.

Esto significa que incluso si las víctimas intentan neutralizar la amenaza de las credenciales robadas, los atacantes pueden usar los datos complementarios para extorsionar activamente a los usuarios afectados.

El tratamiento de cuerda de terciopelo

Al aire de exclusividad y sofisticación se suma la accesibilidad del servicio solo por invitación, lo que ha resultado en un ecosistema de ciberdelincuencia más pequeño de sitios falsos que prometen acceso a Genesis y requieren que los delincuentes crédulos hagan un «depósito» con una tarjeta de crédito para acceder a él.

En noviembre de 2021, Digital Shadows, que ha estado rastreando IAB desde 2016, informó un aumento en el uso de IAB entre los ciberdelincuentes.

Gunn dice que si las organizaciones quieren evitar caer en el bloque de subastas de IAB, primero deben parchear todas las vulnerabilidades, mantener sus sistemas en orden y mantenerse alerta.

«Incluso si los IAB son un desarrollo más nuevo en el panorama de amenazas, los procesos de reconocimiento e infiltración no son nada nuevo», agrega. «Las organizaciones deben tener una estrategia de detección para reconocer esas actividades inusuales, pero también deben comprender su red, qué hay en ella, cuáles son las posibles superficies de ataque y dónde priorizar la aplicación de parches en consecuencia».



Enlace a la noticia first