El desmantelamiento esta semana de una operación masiva de phishing como servicio (PhaaS) que abarcó agencias policiales de ambos lados del Atlántico y es el último ejemplo de un enfoque cada vez más agresivo por parte de las autoridades para interrumpir las operaciones de bandas de cibercriminales de alto perfil. . Agencias de 19 países participaron en la operación contra LabHost, que apareció por primera vez en 2021 y creció hasta incluir al menos 40.000 dominios de phishing y miles de usuarios registrados, de los cuales alrededor de 800 fueron notificados por las autoridades diciendo que la policía sabía quiénes eran y qué. habían estado haciendo y acumulando más de 1,17 millones de dólares en pagos de malos actores que utilizaron el kit de phishing. Además, 37 personas en todo el mundo fueron arrestadas en relación con LabHost, según Europol, que comenzó a coordinar la investigación en septiembre de 2023, más de un año después de que la Policía Metropolitana del Reino Unido comenzara a investigar las actividades de LabHost en junio de 2022. Cuatro de ellas Los arrestados en el Reino Unido son sospechosos de administrar el sitio LabHost e incluyen a su desarrollador inicial. La Policía Metropolitana dijo que LabHost tenía alrededor de 2.000 usuarios registrados, aunque Europol estimó el número en unos 10.000. La operación policial se llevó a cabo del 14 al 17 de abril, y LabHost y sus sitios fraudulentos fueron interrumpidos el último día. Los malos actores tenían que pagar para jugar Al igual que con otras operaciones de PhaaS, los malos actores pagaron suscripciones mensuales de $179 y $300 para usar los kits de phishing de LabHost, que incluyen herramientas para crear y distribuir los correos electrónicos de phishing, y la infraestructura de la operación de albergar páginas de phishing creadas para verse. como si pertenecieran a empresas legítimas. Los piratas informáticos utilizaron correos electrónicos de phishing para atraer a los objetivos a proporcionar información personal. LabHost incluía más de 170 sitios web falsos con páginas de phishing convincentes entre las que los usuarios podían elegir. Según funcionarios encargados de hacer cumplir la ley en Estados Unidos, los sitios falsificados parecían pertenecer a empresas como Amazon, Netflix, Wells Fargo, Bank of America y Chase Bank. Dijeron que LabHost operaba a través del dominio Lab-host.ru, que enlaza con una empresa rusa de infraestructura de Internet. No identificaron a la empresa. El FBI y el Servicio Secreto participaron en la investigación internacional, confiscando cuatro de los dominios fraudulentos asociados con servicios API que se utilizaron para instalar sitios web falsificados y gestionar las operaciones de phishing y robo de credenciales de LabHost, según el Departamento de Justicia de Estados Unidos. Según las autoridades, los ciberdelincuentes utilizaron el servicio para robar casi 500.000 números de tarjetas de pago, 64.000 PINS y más de un millón de contraseñas para sitios web y servicios en línea. La Policía Metropolitana dijo que casi 70.000 personas en el Reino Unido ingresaron detalles en uno de los sitios fraudulentos de LabHost. «Lo que hizo que LabHost fuera particularmente destructivo fue su herramienta integrada de gestión de campañas llamada LabRat», escribió Europol en un comunicado. “Esta característica permitió a los ciberdelincuentes que implementaban los ataques monitorear y controlar esos ataques en tiempo real. LabRat fue diseñado para capturar credenciales y códigos de autenticación de dos factores, lo que permite a los delincuentes eludir las medidas de seguridad mejoradas”. Una amenaza internacional Según Trend Micro, las páginas de phishing de LabHost incluyen páginas de bancos canadienses, estadounidenses e internacionales, servicios como Spotify, proveedores de seguros y proveedores postales como DHL, y plantillas de phishing altamente personalizables que solicitan información de las víctimas como nombres, direcciones. , correos electrónicos, fechas de nacimiento, respuestas a preguntas de seguridad estándar, números de tarjetas, contraseñas y PIN. Además, los piratas informáticos podrían solicitar que se creen páginas de phishing personalizadas para la marca objetivo. Era fácil de usar, dado que la plataforma hacía la mayor parte del trabajo de desarrollo y gestión de la infraestructura y ofrecía a los usuarios estadísticas detalladas de la campaña y gestión de credenciales robadas. «En esencia, un PhaaS subcontrata la tarea tradicional de tener que desarrollar y alojar páginas de phishing para una organización objetivo, además de tener que desarrollar métodos para extraer detalles robados, eliminando sustancialmente la barrera de entrada al phishing», escribió Trend Micro, que fue uno de de varias empresas privadas, incluidas Microsoft, Chainalysis, Intel 471 y The Shadowserver Foundation, ayudaron en la investigación. PhaaS es un sector de rápido crecimiento en el entorno de phishing más amplio y parte de la tendencia más amplia de grupos de amenazas que ofrecen su malware (incluido el ransomware) como servicio. Trend Micro señaló a otros operadores de PhaaS, incluidos Greatness y Frappo, pero señaló que «LabHost era sin duda uno de los más populares y dañinos del mercado». El proveedor escribió que LabHost ofrecía a los malos actores tres niveles de membresía, que pagaban con Bitcoin. La membresía estándar por $179 al mes brindaba a los usuarios docenas de páginas dirigidas a instituciones canadienses y alojaba hasta tres páginas de phishing activas a la vez. La membresía premium a $249 al mes agregó páginas dirigidas a instituciones estadounidenses y aumentó el número de páginas de phishing activas a 20. A $300 al mes, una membresía mundial ofrecía más de 70 páginas de phishing dirigidas a organizaciones internacionales y agregó 10 páginas de phishing alojadas para organizaciones. en más de dos docenas de países de Europa, Asia, Medio Oriente y América Central y del Sur. Las fuerzas del orden apuntan a las plataformas El esfuerzo de las fuerzas del orden contra LabHost refleja otros derribos internacionales recientes de operaciones cibercriminales en expansión, incluidas aquellas contra los principales grupos de ransomware Hive, LockBit y BlackCat, también conocidos como ALPHV. La Policía Metropolitana dijo que si bien dichas operaciones se centraron en varios tipos de fraude en línea, cada una tenía como objetivo una plataforma utilizada por grupos de amenazas. «Esta operación y otras del último año muestran cómo las fuerzas del orden en todo el mundo pueden, y lo harán, unirse entre sí y con socios del sector privado para desmantelar las redes internacionales de fraude en origen», dijo Dame Lynne Owens, comisión adjunta de la Policía Metropolitana, en una declaración. «Nuestro enfoque es ser más preciso y específico, centrándonos claramente en aquellos que permiten que el fraude en línea se lleve a cabo a escala internacional». Timothy P. Burke, agente especial a cargo del Servicio Secreto de Estados Unidos, dijo que “apoderarse de LabHost y arrestar a los involucrados tendrá un impacto sistémico en el cibercrimen transnacional”. Artículos recientes por autor URL de la publicación original: https://securityboulevard.com/2024/04/labhost-phishing-platform-is-latest-target-of-international-law-agencies/Categoría y etiquetas: ciberseguridad, privacidad de datos, datos Seguridad, Destacados, Respuesta a incidentes, Malware, Seguridad de red, Noticias, Security Boulevard (Original), Social – Facebook, Social – LinkedIn, Social – X, Spotlight, Threat Intelligence, Amenazas e infracciones, derecho internacional, LabHost, Phishing-as- a-Service (PhaaS) – Ciberseguridad, Privacidad de datos, Seguridad de datos, Destacados, Respuesta a incidentes, Malware, Seguridad de red, Noticias, Security Boulevard (Original), Social – Facebook, Social – LinkedIn, Social – X, Spotlight, Threat Intelligence, Amenazas e infracciones, derecho internacional, LabHost, phishing como servicio (PhaaS)