El monitoreo continuo de Cyble Research & Intelligence Labs (CRIL) de los registros y mercados de la Dark-web indica que ciertas tiendas emergentes de este año están tratando de ganar más tracción y clientes en sus plataformas mediante la realización de campañas publicitarias que promueven sus actividades ilícitas en foros conocidos. Este blog analiza la nueva plataforma recientemente anunciada de registros de Exodus Market y la historia de los actores clave emergentes e incautados en la industria del mercado de registros de botnets y robadores de información. Reaparece Exodus Market Exodus Market for Logs fue anunciado por primera vez en el foro Cracked el 10 de febrero de 2024, por el usuario del mismo nombre, «ExodusMarket», después de ser lanzado oficialmente a fines de enero de 2024. El dominio inicial para la plataforma de registros se cambió dos veces, una en marzo de 2024 y nuevamente el 16 de julio de 2024. Figura 1. Anuncio inicial de Exodus Market en febrero de 2024. El 23 de julio, el actor de amenazas promovió el nuevo dominio. Para atraer más clientes, el actor de amenazas ofreció el registro gratuito a los nuevos usuarios mediante un código de referencia. Figura 2. El segundo anuncio de Exodus en julio de 2024. La publicación anunciada indica que después de migrar con éxito al nuevo dominio, el TA está tratando de atraer clientes como una alternativa a otros mercados, especialmente después del éxodo de usuarios del bien establecido Genesis Marketplace. Existen incertidumbres con respecto a la migración del dominio principal varias veces en el último medio año. Una de las causas podría ser la intensificación de las operaciones LEA, que llevaron al desmantelamiento de infraestructuras de botnets y mercados/foros y al arresto de sus operadores y propietarios. En base a estos eventos, los propietarios de plataformas de la dark web están tratando continuamente de migrar sus infraestructuras a servicios de alojamiento a prueba de balas para garantizar la privacidad de sus clientes y un lugar seguro para sus operaciones ilegales. Otra causa podría ser un intento de estafa de salida en el grupo Exodus Market, que llevaría a migrar la infraestructura a una nueva configuración que evitaría acciones que podrían destruir toda la reputación ganada. Sin embargo, no hay hilos o publicaciones identificadas en los foros de Darkweb o Telegram que indiquen señales de alerta con la plataforma en el período reciente. El 16 de julio, el TA indicó en Telegram que los clientes con cuentas en la antigua plataforma necesitaban generar un ticket para recuperar los fondos en el nuevo sitio de mercado. Descripción general de Exodus Market Nuestro análisis de la actividad de ExodusMarket en Cracked revela al posible creador del sitio, que ha estado activo desde 2020 en el foro bajo el alias «Kira3301» y es un desarrollador de sitios web activo con una gran reputación por sus proyectos. El propietario del mercado respondió el 12 de febrero al hilo Kira3301, agradeciendo los resultados del proyecto. Además, un análisis de otros temas de Kira3301 y el mecanismo de inicio de sesión utilizado en otros proyectos muestra similitudes con la plataforma ExodusMarket. Exodus Market es un sitio web simple con pocas características que ya están incluidas en otros mercados de registros. TA afirma tener más de 7.000 bots en 192 países, y los precios varían de 3 a 10 dólares por bot. Los métodos de pago aceptados son Bitcoin, Monero y Litecoin, y el usuario debe depositar la criptomoneda en la caja de depósito de la plataforma. Figura 3. La página principal del Exodus Market. Figura 4. Métodos de pago. La pestaña de bots en la plataforma ofrece información previa como los recursos a los que accede el bot, la fecha de adición y los últimos datos recopilados, precios, país y sistemas operativos, junto con las dos primeras partes de la dirección IP. Figura 5. La sección de bots. Además, la plataforma incluye un servicio de tickets para problemas de los clientes y una pestaña wiki que pretende contener información general pero que está incompleta al momento de escribir este artículo. Figura 6. Sección wiki del mercado. TA anuncia los beneficios y las nuevas características que brindan más tracción al mercado: Se agregan más de 10,000 nuevos registros diariamente. Mayor privacidad con moderadores. Filtros para registros para una búsqueda fácil en la plataforma. Promete añadir un sistema multicomercio, multivendedor y un navegador antidetección para inyectar logs directamente desde el mercado de Exodus al navegador. El mercado tiene un canal de Telegram para comunicarse oficialmente con sus clientes. Sin embargo, el número de suscriptores y visualizaciones es bajo, lo que demuestra un menor número de posibles clientes. Nuestro análisis de las comunicaciones históricas del canal muestra varios cambios en los dominios que alojaban la plataforma. Además, la investigación muestra que el TA ofrecía anteriormente instaladores para InfoStealers y RAT por $150 y sesiones de tutoría para el uso de InfoStealers. Figura 7. Canal de Telegram. Una línea de tiempo de los mercados de robo de información Anunciado a partir de febrero de 2018 e incautado en abril de 2023: Genesis Market fue uno de los mercados de robo de información más grandes hasta que una operación dirigida por el FBI confiscó sus dominios web claros y lo colocó en la lista de sanciones del Departamento del Tesoro de los EE. UU. Disponible desde febrero de 2019: El mercado ruso ha seguido siendo un actor clave en la industria del ciberdelito, ofreciendo otros productos ilícitos, además de registros, a precios que van desde $10 a más de $400. Disponible desde enero de 2020: 2Easy, que creció lentamente al principio, se benefició de la incautación del mercado Genesis, que estimuló la migración de clientes y el rápido crecimiento del mercado. Creado en octubre de 2020 y activo hasta diciembre de 2021: El mercado de Amigos, cuya principal fuente de registros era el infostealer RedLine, compitió con el mercado ruso hasta su cierre en 2021. Figura 8. Cronología de la actividad de los mercados de registros. Además de estas plataformas establecidas, CRIL ha observado varios mercados descentralizados de habla rusa con una gran cantidad de suscriptores, especialmente en canales de Telegram que anuncian credenciales de infostealers (es decir, «nubes de registros»). Sin embargo, estos canales a menudo son poco confiables y de corta duración. Conclusión Las iniciativas de aplicación de la ley como Operation Endgame, que interrumpió múltiples infraestructuras de las redes de bots Bumblebee, IcedID, Pikabot, SystemBC, SmokeLoader y Trickbot, y las que desmantelaron grupos de ransomware como Lockbit y ALPHV demuestran una alta eficiencia como estrategias de disuasión para el ecosistema criminal. Un beneficio notable de estos esfuerzos son los cambios forzados en la infraestructura, como se vio con el mercado de Exodus este año y anteriormente con tres iteraciones de los notorios foros RAID. Los derribos e interrupciones de las actividades de los actores de amenazas pueden inducir errores operativos que generan más pistas, acercando a los investigadores a su captura. Recomendaciones Los ladrones de información representan una potente amenaza para las personas y las organizaciones, particularmente en los últimos tiempos, cuando se han adaptado para ser más sigilosos, más evasivos y más potentes. Para evitar las amenazas de los ladrones de información, los usuarios deben tener cuidado al instalar software pirateado o archivos sospechosos, ya que a menudo se utilizan como vehículos para distribuir malware de robo de información, y las organizaciones deben Los usuarios siempre deben descargar software/aplicaciones de sitios conocidos y confiables. El departamento de TI de la empresa no debe permitir que los empleados accedan a la infraestructura corporativa desde sus dispositivos personales. Los empleados deben recibir información sobre sus responsabilidades a la hora de garantizar la seguridad de la organización y deben conocer las mejores prácticas. Tome la iniciativa mediante la adopción de soluciones de inteligencia de amenazas tempranas para monitorear de forma proactiva las amenazas. Esté atento a los sospechosos habituales. El monitoreo de los actores y grupos de amenazas conocidos en la red oscura puede alertar a las organizaciones sobre posibles campañas y objetivos de malware futuros, lo que les permite tomar medidas para protegerse. Cree un plan de respuesta a incidentes sólido para reaccionar en caso de una vulneración. Asegure la cadena de suministro más amplia de proveedores y socios para que las amenazas cibernéticas no afecten lateralmente el ecosistema de la empresa. Practique los principios de privilegio mínimo cuando el acceso a información confidencial esté restringido a quienes necesitan saberla.