I Black Market: Come sono organizzati e quali dati contengono

Pubblicato da frtg il

Si parla spesso di attacchi informatici, di Malware, di Ransomware ed estorsioni, ma uno degli aspetti di particolare interesse è rappresentato da ciò che sostiene l’intero business criminale: i Black Market e i Forum dell’underground.

In questo articolo mostriamo alcuni dettagli di un noto Black Market apparentemente associato a criminali dell’est Europa e della Russia. Questa attribuzione però non è da considerarsi effettivamente attendibile.

L’immagine a sinistra mostra il Menu del Market suddiviso nelle seguenti sezioni:

  • CVV / DUMPS
    • dati e informazioni su Carte di credito;
  • RDP
    • accessi tramite protocollo RDP a server compromessi;
  • Stealer Logs
    • accessi a workstation compromesse e tutti i dati contenuti (password, cookie, file);
  • PayPal
    • Accessi User/Password a conti Paypal;
  • Strumenti vari.


La schermata di Login:

Stealer Logs

Uno degli aspetti più interessanti è rappresentato dall’area in cui viene effettuata la compravendita di sistemi compromessi. La lista rappresenta sistemi (tipicamente Workstation) colpite da Malware. L’eventuale acquirente potrebbe accedere ai dati trafugati sulla singola macchina, alle password salvate dall’utente e ai Cookie di sessione.
Nel menu a tendina, la lista dei Malware utilizzati per la compromissione. La lista dei sistemi compromessi per Country è associato ad un certo numero di informazioni, come la lista dei siti a cui l’utente è registrato (Cookie di sessione e Password) e il prezzo.

Prezzo medio di circa 10$ a postazione. L’acquisto permette di ottenere oltre le informazioni già trafugate, anche accesso remoto al sistema per l’avvio di attacchi mirati.

RDP

Nell’ambito degli accessi abusivi a sistemi compromessi, l’area dedicata al “RDP” contiene la lista di sistemi perimetrali compromessi a cui i criminali ne rivendono gli accessi (fornendo Username e Password RDP).

I prezzi variano in base alla tipologia del sistema e all’hardware di cui è dotata la macchina.

DUMP e CVV

In queste aree del Black Market è possibile acquistare informazioni e codici (CVV) delle carte di credito. Queste sono ottenute dai criminali tramite:

  • compromissione di Workstation (risultato Stealer Logs);
  • compromissione sito Web/E-Commerce