Investigadores de ciberseguridad de KELA, dedicados al monitoreo de actividad ilegal en dark web y en Internet convencional, reportan la detección de una nueva plataforma de mercado negro de reciente aparición pero que ha incrementado su actividad de forma exponencial desde su lanzamiento. Identificada como 2easy, esta es una plataforma automatizada donde toda clase de vendedores ofrecen registros confidenciales robados en incidentes de seguridad, incluyendo información recopilada por botnets y registros almacenados por navegadores web de todo el mundo.
El informe señala que al menos hay 18 vendedores activos en plataforma, todos ellos dedicados a la venta de información confidencial robada, especialmente credenciales de inicio de sesión. KELA estima que la gran mayoría de la información disponible en esta plataforma es válida y podría representar severas amenazas de seguridad. Al menos la mitad de los vendedores en 2easy usan el malware para robo de información RedLine para recopilar los registros vendidos.
Crecimiento constante
Según el reporte, los administradores de 2easy comenzaron a anunciar el lanzamiento de la plataforma en múltiples foros de hacking rusos a mediados de 2020. El registro de dominio indica que 2easy ha estado en línea desde 2018, aunque la plataforma experimentó su punto de actividad más alto durante los más recientes meses.
Muestra del crecimiento de la plataforma es que para mediados de 2020 los vendedores ofrecían información recolectada por unos 28,000 bots, mientras que actualmente los datos son buscados y recolectados por casi 600,000 bots. Además, los precios en 2easy son considerablemente más accesibles que en otras plataformas similares, como Genesis y Russian Market.
Accediendo a 2easy, los usuarios interesados tendrán ventajas como:
- Acceso a todas las URL en las que iniciaron sesión las máquinas infectadas
- Búsqueda de URLs específicas
- Navegación a través de una lista de máquinas infectadas
- Acceso a las puntuaciones recibidas por los vendedores
- Venta de credenciales de acceso para objetivos determinados
Al comprar un bot, los usuarios reciben un archivo ZIP que contiene carpetas y archivos con información recolectada de forma maliciosa, incluyendo credenciales de acceso, números de tarjeta de crédito, detalles sobre el sistema de la víctima y algunos registros sobre el usuario. El tipo de datos recibidos por el comprador depende de los métodos y variantes de malware utilizados por los vendedores.
La plataforma también ofrece una opción para reembolsar las compras si los usuarios consideran que la calidad de la información recibida es deficiente, ya no está activa o ha sido utilizada por otros grupos de hacking anteriormente.
Vendedores en 2easy
Los administradores de la plataforma también anuncian frecuentemente la oportunidad de incorporarse al mercado como vendedores, en lo que parece ser la primera etapa de un importante plan de expansión, ya que actualmente 4 de los 18 vendedores en 2easy acaparan más del 90% de los bots listados en la plataforma.
Sobre el malware utilizado por estos hackers, KELA reporta que se detectó una pieza única de malware asociada al código fuente de RedLine, una reconocida herramienta para el robo de información. Mientras esta herramienta es utilizada por los principales vendedores en la plataforma, otros vendedores recurren a herramientas como Raccoon, otra herramienta popular entre la comunidad cibercriminal.
Por otra parte, los principales vendedores en 2easy fueron identificados como miembros activos de múltiples foros de hacking rusos, como Exploit, LolzTeam y XSS. Uno de estos vendedores usa el nombre de Mayson_logs y ha sido identificado como mayson147 en otras comunidades cibercriminales; este vendedor usa un servicio conocido como Univer City para brindar acceso a diversas herramientas de hacking y recolección de información.
A pesar de ser una plataforma de reciente crecimiento, 2easy parece gozar de buena popularidad entre diversos grupos cibercriminales. En diversas ocasiones algunos vendedores han sido acusados de fraude, aunque después de investigaciones internas entre los administradores se determinó que estas acusaciones eran imprecisas.
Esto demuestra que los administradores de 2easy tratan de evaluar y llevar control de las actividades de los vendedores, lo que eventualmente incrementará la reputación de la plataforma. Si bien el nivel de actividad de 2easy aún es muy bajo en comparación con otras plataformas ilegales, su crecimiento constante y eficientes métodos de robo de información parecen ser suficientes para garantizar que este podría convertirse en uno de los mercados negros más importantes de dark web.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.