Οι σοβαρές απειλές στον κυβερνοχώρο εξελίσσονται, καθώς οι κυβερνοεγκληματίες μετατρέπουν τις κλοπές διαπιστευτηρίων σε υπόγειες υπηρεσίες με δυνατότητες αναζήτησης. Αυτές οι υπηρεσίες επιτρέπουν σε αγοραστές να αναζητούν συγκεκριμένα διαπιστευτήρια ανάλογα με την επιχείρηση, την πλατφόρμα ή τη γεωγραφία, γεγονός που καταδεικνύει τη ραγδαία ανάπτυξη του εγκληματικού οικοσυστήματος.
Μια πρόσφατη ανάλυση από Φωτοβολίδα εξέτασε 470 αναρτήσεις σε υπόγεια φόρουμ από τον Ιανουάριο του 2025 μέχρι τον Ιούνιο του 2026. Οι ερευνητές ανακάλυψαν ότι οι ηθοποιοί στον κυβερνοχώρο προσφέρουν υπηρεσίες αναζήτησης, όπως η εξαγωγή κλεμμένων διαπιστευτηρίων από βάσεις δεδομένων, προσφέροντας στοχευμένες παροχές στους αγοραστές. Το σύνολο των δεδομένων περιλάμβανε διαφημίσεις, σχόλια και αναφορές τιμολόγησης, αποκαλύπτοντας έτσι τον αθέατο κόσμο της κυβερνοεγκληματικότητας.
Βασικά Σημεία
- Η ανάλυση 470 υπόγειων αναρτήσεων δείχνει ότι η ζήτημα κώδικα αποκτά ένα νέο επίπεδο υπηρεσιών, όπου οι αγοραστές μπορούν να ζητούν μόνο συγκεκριμένα διαπιστευτήρια για τις ανάγκες τους αντί να αγοράζουν μάζα δεδομένων.
- Η αγορά αναζητήσεων δεν είναι ταυτόσημη με την αγοραφή Initial Access Broker (IAB), αν και υπάρχουν ομοιότητες. Οι δημοφιλείς μορφές εξόδου περιλαμβάνουν URL:LOGIN:PASS, MAIL:PASS, κ.λπ.
- Πολλά σχόλια αφορούν τη διαφορά μεταξύ των διαφημιστικών υποσχέσεων και της πραγματικότητας, που δείχνουν ότι τα διαπιστευτήρια δεν είναι πάντα αξιόπιστα ή μοναδικά.
Η Λειτουργία της Υπηρεσίας “Αναζήτηση Στόχου”
Η αγορά “αναζήτησης στόχου” έρχεται στο προσκήνιο στην αλυσίδα εξαγοράς λογαριασμών. Οι επιτήδειοι χρησιμοποιούν malware για να μολύνουν συσκευές και να συλλέξουν διαπιστευτήρια και άλλα δεδομένα. Οι συλλογές αυτές εισάγονται σε βάσεις δεδομένων ή αποθήκες και οι επιτιθέμενοι εξάγουν σειρές ανάλογα με τα αιτήματα των πελατών.
Οι αγοραστές επικυρώνουν τα διαπιστευτήρια που λαμβάνουν και τα χρησιμοποιούν για απάτες, phishing, και άλλες παράνομες ενέργειες. Αυτή η διαδικασία υποδεικνύει ότι οι ηθοποιοί αυτοί δεν είναι ούτε οι πρώτοι ούτε οι τελευταίοι στη διαδρομή των κλεμμένων διαπιστευτηρίων: αποτελούν ένα κρίσιμο επίπεδο επεξεργασίας.
Αυτό το μοντέλο εξυπηρετεί την ομάδα T1589.001, όπου οι επιτιθέμενοι αποκτούν ενεργά διαπιστευτήρια για εκμετάλλευση, υποδεικνύοντας τις αυξανόμενες απειλές στον κυβερνοχώρο και την ανάγκη για αυξημένη επίγνωση και προετοιμασία των οργανισμών.
Οι πληροφορίες από πωλήσεις διαπιστευτηρίων σε GitHub και άλλες πλατφόρμες δείχνουν ότι οι απειλές εξελίσσονται συνεχώς, ενισχύοντας την ανάγκη για προληπτικά μέτρα ενάντια σε πιθανές επιθέσεις. Αυτές οι υπηρεσίες συχνά έρχονται στο φως πριν γίνουν διάσημες ή προκαλέσουν σοβαρά περιστατικά.
Η Οικονομία της Αγοράς “Αναζήτησης Στόχου”
Στην αγορά “αναζήτησης στόχου”, οι αγοραστές υποβάλλουν έναν τομέα και οι πωλητές επιστρέφουν τα συγκεκριμένα διαπιστευτήρια. Ο στόχος μπορεί να είναι μια εταιρεία, μια πλατφόρμα ηλεκτρονικού εμπορίου ή ένα app, και οι πληροφορίες παρέχονται συχνά σε μορφές όπως URL:LOGIN ή LOGIN:PASS.
Πολλοί πωλητές υπερηφανεύονται για τη μεγαλοπρέπεια των βάσεων δεδομένων τους, όπως μια βάση δεδομένων “ULP 5kkk+ lines” για ταχύτερη πρόσβαση, και προωθούν την ικανότητά τους να παρέχουν φρέσκα και σχετικά αποτελέσματα.
Εγγραφείτε για δωρεάν δοκιμή αν δεν είστε ήδη πελάτης.
Εκτός από το μέγεθος της βάσης δεδομένων, οι πωλητές προσφέρουν και άλλες υπηρεσίες, όπως η εξαγωγή δεδομένων με συγκεκριμένες παραμέτρους, π.χ. μόνο για έναν τομέα ή εφαρμογή. Αυτή η ευελιξία είναι κομβική για τους επιτιθέμενους που αναζητούν συγκεκριμένα θύματα ή στόχους.
Το Χάσμα μεταξύ Διαφημίσεων και Πραγματικότητας
Ένα από τα ενδιαφέροντα ευρήματα από τις αναλύσεις είναι ότι οι πωλητές συχνά υπερβαίνουν τις υποσχέσεις τους. Αρκετοί αγοραστές ανέφεραν ότι τα διαπιστευτήρια που παρέχονται ήταν άκυρα, ή υπήρχαν πάρα πολλές διπλοτυπίες. Σε πολλές περιπτώσεις, τα διαπιστευτήρια που διαδίδονται είναι ήδη διαθέσιμα σε δημόσιες λίστες.
Η προφανής διαφορά μεταξύ συσσωρευμένων λιστών και εξειδικευμένων υπηρεσιών όπως η “αναζήτηση στόχου” δημιουργεί νέες προκλήσεις για τους οργανισμούς, οι οποίοι πρέπει να είναι σε ετοιμότητα.
Σύγκριση με την Αγορά IAB
Η αγορά “αναζήτησης στόχου” συχνά μπλέκεται με την αγορά Initial Access Broker (IAB), όπου οι αγοραστές αναζητούν πρόσβαση σε διάφορες ψηφιακές πλατφόρμες. Αν και οι υπηρεσίες μπορούν να επικαλύπτονται, η αγορά IAB συνήθως προσφέρει υψηλότερης ποιότητας πρόσβαση και μεγαλύτερη αξιοπιστία.
Η αγορά IAB παρέχει συχνά αξιόπιστη πρόσβαση, η οποία μπορεί να παρακάμψει ακόμη και τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), καθιστώντας την ένα εξαιρετικά επιθυμητό εργαλείο για εγκληματίες.»
Συμπεράσματα για τους Υπερασπιστές
Η αγορά “αναζήτησης στόχου” δείχνει ότι οι εισβολείς μπορούν πλέον να προσπελάσουν εύκολα διαπιστευτήρια χωρίς να χρειάζεται να αναλύσουν ογκώδεα δεδομένα. Αυτή η πρόσβαση διευκολύνεται από πωλητές εξειδικευμένων υπηρεσιών που μπορούν να προσφέρουν στοχευμένες πληροφορίες.
Οι υπερασπιστές θα πρέπει να είναι προσεκτικοί και να παρακολουθούν τις εκθέσεις αυτών των υπηρεσιών για να εντοπίζουν τις αδυναμίες τους. Το Flare παρέχει ορατότητα και παρακολουθεί ψηφιακές απειλές στους οργανισμούς, προάγοντας έτσι την ασφάλεια και την πρόληψη πιθανών επιθέσεων.
Μάθετε περισσότερα κάνοντας εγγραφή στη δωρεάν δοκιμή μας.
Χορηγός και γραμμένος από Φωτοβολίδα.
