Em tempos de coronavírus, o comércio eletrônico não para. Nem mesmo aquele dedicado ao mundo do crime. O MagBo, um mercado on-line do mal, onde hackers vendem e compram servidores invadidos, está se saindo melhor do que nunca. O site de cibercrimes aumentou em popularidade para se tornar o maior mercado criminal do gênero desde o seu lançamento no verão de 2018. Agora, a loja de crimes cibernéticos está vendendo acesso a mais de 43.000 servidores hackeados.
Em apenas dois anos, o portal MagBo cresceu mais de 14 vezes. Saltou de 3 mil sites invadidos em 2018 para esses incríveis 43 mil.
Hoje, o MagBo se tornou o mercado de fato para muitas operações de crimes cibernéticos. Alguns grupos se registram na plataforma MagBo para vender servidores invadidos, enquanto outros estão lá apenas para comprar.
Loja de crimes cibernéticos está vendendo acesso a mais de 43.000 servidores hackeados
Quem compra, faz isso em grandes quantidades:
- para SEO black-hat ou para distribuição de malware;
- ou seletivamente, para invasões em alvos de alto valor (lojas de comércio eletrônico para skimming na Web, intranets para ransomware).
Em suma, a plataforma MagBo não pode mais ser ignorada, pois parece estar aqui para ficar e está se colocando no centro de muitas das operações de crimes cibernéticos atuais.
Um relatório da empresa de inteligência sobre ameaças KELA mostra a recente evolução do MagBo. A pesquisa foi feita em conjunto pelo KELA e o site ZDNet.
Evolução dos serviços criminosos
A venda de dados invadidos existe há décadas e funciona de forma semelhante ao que conhecemos como comércio eletrônico. Se antes os hackers usavam canais de IRC e mensageiros instantâneos para fornecer informações, as coisas agora estão bem evoluídas. Eles possuem anúncios publicados em fóruns e, em seguida, grupos de criminosos começaram a criar e administrar suas próprias lojas on-line.
Temos mecanismos que funcionam da mesma forma que a Amazon ou e-Bay, por exemplo. Lá, os hackers registram contas para vender e comprar produtos ao mesmo tempo, alimentando um mercado de oferta e demanda.
As lojas vendem os mais variados produtos: servidores invadidos, acesso a computadores invadidos (comprometidos por malware de botnet), mercados para detalhes roubados de cartões de pagamento e mercados para vender informações pessoais roubadas durante violações de dados. Portanto, tudo está cada vez mais profissional.
Então, o que é o Magbo?
O MagBo é o principal mercado de hoje para servidores invadidos.
O site é executado na Internet pública, mas o acesso é restrito a membros aprovados. Você precisa de um convite para poder registrar um perfil no MagBo e, para receber um convite, precisa ser indicado por um membro do site.
O site foi lançado em junho de 2018 e, inicialmente, começou como qualquer outro serviço de crimes cibernéticos – ou seja, anunciando-se em vários fóruns de hackers.
De acordo com o ZDNet, o site se anunciava como um portal onde outros grupos podiam comprar acesso a servidores Web invadidos por hackers e com um shell instalado em seu sistema de arquivos.
Web shells são programas maliciosos que os hackers instalam em servidores web. Eles fornecem uma interface visual que os hackers podem usar para interagir com o servidor invadido e seu sistema de arquivos. A maioria dos web shells vem com recursos para permitir que os hackers renomeiem, copiem, movam, editem ou carreguem novos arquivos em um servidor. Eles também podem ser usados para alterar as permissões de arquivo e diretório ou arquivar e fazer download (roubar) dados do servidor.
Inicialmente, o serviço foi lançado com uma coleção de mais de 1.500 web shells; no entanto, em setembro de 2018, o Flashpoint relatou que esse número havia aumentado para 3.000 sistemas.
O MagBo tentou diversificar suas listagens iniciais de web shell adicionando suporte à venda de outros tipos de produtos – como acesso à conta CMS de um servidor, acesso à conta do painel de hospedagem de um servidor, acesso à conta SSH do servidor e acesso ao SQL do site.
Vamos aos números
No entanto, hoje, os web shells continuam sendo o principal produto do MagBo, respondendo por 90% do catálogo do site, de acordo com a KELA.
Desde que foi lançado em 2018, o KELA diz que o Magbo vendeu acesso a mais de 150.000 sites, com 43.000 ainda à venda a partir desta semana.
O gerente de produtos da KELA, Raveed Laeb, disse que rastrearam 190 agentes de ameaças diferentes que vendem servidores invadidos no site.
Com base nas listagens históricas de servidores e nos preços associados, Laeb acredita que as operadoras MagBo podem ter ganho mais de US$ 750.000 em receita com a venda de servidores invadidos no site.
Mas o MagBo não é único. Outras lojas como essa já existiam antes e ainda estão sendo criadas e lançadas, com pouco ou nenhum sucesso.
Laeb acredita que a razão pela qual a MagBo dominou o mercado é que, diferentemente de muitos outros mercados similares, a loja não esconde detalhes sobre os servidores invadidos.
Enquanto outras lojas ocultam nomes de domínio para evitar que outros hackers assumam os mesmos servidores e sistemas, o MagBo lista URLs e títulos de sites para que os compradores possam ter uma idéia exata do que estão recebendo.
Além disso, o MagBo também mostra o nível de acesso e permissões que o web shell possui. Isso ajuda as gangues criminosas na escolha do tipo específico de operações.
Por exemplo, o MagBo lista se o web shell tem acesso ao recurso de correio do servidor, permitindo que os operadores de spam aluguem servidores que eles podem colocar em funcionamento imediatamente.
Além disso, o MagBo também lista servidores hackeados nos quais o web shell pode editar arquivos.
Esse nível de detalhamento é o que contribuiu para a ascensão da MagBo, mantendo os clientes satisfeitos e atraindo novos por meio de referências.
Estoque renovado
Mas o KELA diz que o sucesso do site também pode ser atribuído ao fornecimento constante de novos estoques. Entre 200 e 400 novos sites são adicionados diariamente, com cerca de 200 sendo vendidos.
A maioria das listagens MagBo analisadas são de sites WordPress. Alguns dos sites WordPress listados no MagBo são executados em versões desatualizadas e usavam plugins desatualizados.
Isso não é surpresa, já que sites antigos e desatualizados do WordPress sofrem ataques constantes há anos, principalmente devido à popularidade do WordPress CMS.
Nos últimos anos, houve relatos de várias empresas de cibersegurança sobre ataques a sites WordPress em que os invasores não fizeram nada. Os hackers invadiam um site, deixavam um web shell e depois saíam.
Sabendo o que sabemos agora sobre a crescente popularidade do MagBo, é muito provável que alguns desses sites invadidos tenham sido listados no MagBo, à espera de um comprador.
KELA diz que o preço de venda desses sites geralmente varia de acordo com o tipo. Por exemplo, um site de pequenas empresas que ninguém ouviu falar custaria algo tão pequeno quanto alguns centavos, enquanto um portal oficial do ministério do governo custaria até US $ 10.000.
SEGUINDO O CAMINHO XDEDIC
O que estamos vendo aqui com o MagBo é semelhante ao xDedic, outro mercado de crimes cibernéticos, mas especializado em vender acesso a terminais RDP hackeados.
Assim como o MagBo, o xDedic cresceu de um pequeno portal para um inventário de cerca de 85.000 e se tornou uma peça central do cenário de crimes cibernéticos.
O site tornou-se amplamente utilizado por gangues de ransomware, que compraram acesso a servidores RDP invadidos pela xDedic, redes corporativas infiltradas e empresas resgatadas por enormes somas de dinheiro.
Depois que o xDedic se tornou uma peça central no mundo do crime cibernético, o site foi alvo de uma investigação policial e encerrado em janeiro de 2019.
O MagBo pode não ser tão popular quanto o xDedic, mas está crescendo em popularidade. Além disso, com o aumento dos ataques de skimming na Web (Magecart) e as perdas financeiras que esses ataques causam aos bancos e consumidores, sites como o MagBo, que vendem acesso a lojas on-line baseadas no WordPress, podem em breve encontrar seu caminho na mira de policiais.
FONTE: SEMPRE UPDATE