Οι διαχειριστές του Genesis Market ανακοίνωσαν σε ένα hacking forum ότι πούλησαν το κατάστημα και ότι ένας νέος ιδιοκτήτης θα το αναλάβει “τον επόμενο μήνα”.
Η ανακοίνωση αυτή έρχεται περίπου τρεις μήνες μετά την κατάσχεση ορισμένων domains της αγοράς στο clearnet στο πλαίσιο της επιχείρησης “Cookie Monster”.
Δείτε επίσης: Η καμπάνια κλοπής Cloud Credential της TeamTNT στοχεύει τώρα το Azure και το Google Cloud
Στις 28 Ιουνίου, ο λογαριασμός “GenesisStore”, που χρησιμοποιείται από έναν χειριστή του “Genesis Market” για ανακοινώσεις σε ένα hacking forum, δημοσίευσε ότι η ομάδα πίσω από το κατάστημα αποφάσισε να πουλήσει την πλατφόρμα.
Δείτε επίσης: Ψεύτικο PoC για μια Linux Kernel ευπάθεια στο GitHub περιέχει malware
Σε μια ανάρτηση που κοινοποιήσε η εταιρεία κυβερνοασφάλειας Flare με το BleepingComputer, ο πωλητής δήλωσε ότι το πακέτο περιλάμβανε “το κατάστημα με όλες τις εξελίξεις”, μια πλήρη βάση δεδομένων χωρίς κάποιες λεπτομέρειες σχετικά με τους πελάτες, τον πηγαίο κώδικα, τα scripts και την υποδομή του server.
Η συμφωνία θα περιλαμβάνει και το απόθεμα που έχει καταστήσει την αγορά μια ακμάζουσα επιχείρηση κυβερνοεγκληματιών.
- δακτυλικά αποτυπώματα συσκευής (π.χ. cookie, διευθύνσεις IP, ζώνες ώρας, πληροφορίες συσκευής)
- cookies
- το πρόγραμμα αρπαγής φόρμας που συγκέντρωσε όλα τα δεδομένα (προσαρμοσμένος κώδικας JavaScript)
- αποθηκευμένους κωδικούς πρόσβασης
- άλλα στοιχεία persona από δικτυωμένους υπολογιστές
Το GenesisStore δελέασε τους πιθανούς αγοραστές λέγοντας ότι η απόκτηση της πλατφόρμας θα αυξήσει σημαντικά τα κέρδη όσων έχουν ήδη “ροή επισκεψιμότητας”.
Την Πέμπτη, το GenesisStore ανακοίνωσε ότι ένας πελάτης έκανε την κατάθεση και η συμφωνία αναμένεται να ολοκληρωθεί “τον επόμενο μήνα”, με τον νέο ιδιοκτήτη να αναλαμβάνει τον πλήρη έλεγχο.
Οι διαχειριστές της αγοράς σημείωσαν επίσης ότι δεν θα παρέδιδαν τους λογαριασμούς στο φόρουμ, οπότε ο νέος ιδιοκτήτης θα έπρεπε να δημιουργήσει νέους αν ήθελε αυτό το τμήμα της κοινότητας.
Δείτε επίσης: Οι Gamaredon hackers κλέβουν δεδομένα σε λιγότερο από μια ώρα μετά την παραβίαση
Η ιστορία του Genesis Market
Το Genesis Market κυκλοφορεί στα τέλη του 2017. Μετά από τρία χρόνια, έγινε το πιο δημοφιλές κατάστημα πώλησης account credentials για διαδικτυακές υπηρεσίες, δακτυλικών αποτυπωμάτων συσκευών και cookies.
Μέρος της επιτυχίας ήταν η ανάπτυξη προσαρμοσμένου κώδικα JavaScript για τη συλλογή όλων των δεδομένων που ήταν απαραίτητα για τη δημιουργία ενός device fingerprint, το οποίο επέτρεπε τη μίμηση του μηχανήματος του θύματος κατά την είσοδο σε μια υπηρεσία.
Για τον πάροχο υπηρεσιών, εμφανίστηκε ως κανονική είσοδος από τον νόμιμο κάτοχο του λογαριασμού χρησιμοποιώντας το συνηθισμένο του μηχάνημα από μια κανονική γεωγραφική τοποθεσία.
Το JavaScript διανεμήθηκε μέσω διαφόρων κακόβουλων προγραμμάτων κλοπής πληροφοριών, όπως τα RedLine, DanaBot, Raccoon και AZORult.
Το Genesis Market νοίκιαζε bots που παρείχαν στους πελάτες κλεμμένες ταυτότητες λογαριασμών σε πραγματικό χρόνο. Με αυτόν τον τρόπο, εάν υπήρχε αλλαγή των στοιχείων στο μηχάνημα του θύματος, το bot θα αναπαράγονταν σχεδόν αμέσως.
Ανάλογα με τον τύπο του λογαριασμού, η τιμή ενός bot κυμαινόταν από 70 σεντς για λογαριασμούς καταναλωτών (Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, eBay) έως εκατοντάδες δολάρια για online τραπεζικές υπηρεσίες.
Όταν οι διωκτικές αρχές κατέσχεσαν τα clearnet domains της Genesis Market, η πλατφόρμα φέρεται να είχε προσφέρει περίπου 80 εκατομμύρια credentials και ψηφιακά αποτυπώματα, σύμφωνα με την Εθνική Υπηρεσία Εγκλήματος στο Ηνωμένο Βασίλειο.
Παρά την ενέργεια αυτή, η πλατφόρμα παρέμεινε σε λειτουργία στο dark web. Οι ερευνητές της ZeroFox δήλωσαν τότε ότι η αγορά αύξησε το απόθεμά της με νέα bots μετά το χτύπημα του Operation Cookie Monster των διωκτικών αρχών στα clear web domains.
Πηγή πληροφοριών: bleepingcomputer.com
