Полиция ликвидировала крупный даркнет-маркетплейс Genesis Market

[admin]

Один из крупнейших маркетплейсов в даркнете, Genesis, был закрыт в ходе международной операции Cookie Monster, которую координировало ФБР. На Genesis продавали украденные учетные данные, cookie и даже готовые виртуальные личности. Сайт был связан со множеством финансово мотивированных атак по всему миру, от банального мошенничества до атак программ-вымогателей.

Хотя правоохранители пока не делали официальных заявлений, при попытке входа на сайт Genesis демонстрирует специальную «заглушку», сообщающую о ликвидации ресурса ФБР. Издание The Record, со ссылкой на собственные источники, сообщает, что в связи с закрытием ресурса и конфискацией его серверов в настоящее время по всему миру производится множество арестов.

При этом, судя по баннеру правоохранителей, администраторы торговой площадки пока не были идентифицированы или арестованы, так как ФБР просит всех, кто обладает какой-либо информацией о них, выйти на связь.

Аналитики Recorded Future напоминают, что Genesis запустился в конце 2017 года и уже к 2020 году стал одним из популярнейших маркетплейсов, выделяясь на фоне Russian Market и 2easy Shop. В основном на Genesis продавали учетные данные (в том числе для Gmail, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom, Ebay и так далее) файлы cookie и так называемые фингерпринты (цифровые отпечатки, боты, а говоря проще — готовые виртуальные личности) для различных устройств.

Продажа ботов на Genesis

Доступ на Genesis можно было получить только по приглашению, но такой инвайт было нетрудно найти в обычном поисковике. Исследователи говорят, что приглашения были широко доступны и нередко распространялись даже через YouTube. К тому же Genesis имел даже собственную Wiki, объясняющую новичкам, как все устроено.

Как уже было сказано выше, в отличие от конкурентов, Genesis предоставлял преступникам доступ к цифровым отпечаткам, которые позволяли хакерам выдавать себя за жертв, присваивая их IP-адреса, cookie сеансов, информацию об ОС, установленных плагинах и так далее. Таким образом преступники могли получить доступ к платформам, работающим по подписке (например, Netflix, Amazon), а также к услугам онлайн-банкинга, не вызывая подозрений у систем безопасности, или обойти многофакторную аутентификацию.

Обычно такие отпечатки продавались вместе со списком сервисов, к которым жертва имеет доступ (учетные записи Netflix, Amazon, eBay и так далее). Кроме того, боты могли предоставлять доступ к другим учетным записям, не перечисленным в списке автоматически, например, к корпоративным сетям.

После покупки бота можно было импортировать в разработанный преступниками браузер Genesis Security, который был доступен даже в качестве расширения для других браузеров. В зависимости от типа учетной записи покупатели могли платить меньше 10 долларов за доступ к цифровой «маске».

Данные для таких ботов в основном собирались при помощи инфостилеров, причем у Genesis, в отличие от конкурентов, не было столь широкого списка постоянных «поставщиков», вроде RedLine, Vidar, Raccoon или META. По информации экспертов компании KELA, которые изучали деятельность маркетплейса в еще 2020 году, большая часть ворованных данных на Genesis исходила от малвари AZORult.

По данным Recorded Future, с 2018 года на Genesis продали порядка 135 000 000 цифровых отпечатков.

source: therecord.media/genesis-market-takedown-cybercrime

 

[admin]

ФБР не смогла полностью ликвидировать популярный киберпреступный рынок Genesis Market

«Борьба с киберпреступностью очень похожа на борьбу с сорняками. Если оставить какие-то корни, они снова вырастут».

Хакерский рынок Genesis Market, на котором продавались украденные аккаунты Netflix, Amazon и других сервисов, как ни в чём не бывало продолжает работать , несмотря на заявления полиции о его ликвидации.

В прошлом месяце ФБР торжественно объявила , что инфраструктура киберпреступного рынка Genesis Market был ликвидирована, а сам маркет был удалён из публичного доступа в общедоступном интернете. Однако идентичная версия рынка, размещенная в тёмном сегменте интернета, даркнете, остается активной до сих пор.

Администраторы площадки только «подлили масла в огонь», когда разместили в шапке сайта информацию о том, что маркет «полностью функционирует», побуждая потенциальных покупателей не бояться приобретать необходимые данные и услуги.

Genesis Market описывается полицией как «опасный» веб-сайт, специализирующийся на продаже логинов, IP-адресов и cookie-файлов, составляющих «цифровые отпечатки» жертв. На момент закрытия общедоступного веб-сайта Genesis Market там было продано более двух миллионов украденных идентификационных данных.

Проведённая в апреле этого года операция «Cookie Monster» была возглавлена ФБР и голландской полицией. Результатом стало объявление правоохранителей о ликвидации сайта и аресте 119 киберпреступников.

Однако исследователи из компании Netacea, которые отслеживали версию рынка в даркнете, заявили, что сайт был недоступен лишь на протяжении пары недель, после чего полностью восстановил свою работу.

«Борьба с киберпреступностью очень похожа на борьбу с сорняками. Если оставить какие-то корни, они снова вырастут», — выразил своё мнение Сирил Ноэль-Тагоэ, главный исследователь безопасности Netacea.

Ноэль-Тагоэ также похвалил полицию за закрытие версии маркета в обычном интернете, но был вынужден констатировать факт, что операция была скорее нарушением деятельности злоумышленников, нежели полной ликвидацией площадки.

Эксперты из компании Trellix, которые помогали полиции в нарушении работы некоторых хакерских инструментов, продаваемых на Genesis Market, также выразили своё согласие с тем, что администраторы и управленцы сайта всё ещё на свободе.

Американские и голландские правоохранители пока не комментировали тот факт, почему даркнет-версия маркета всё ещё остаётся доступной даже после её «ликвидации», однако Пол Фостер, заместитель директора киберпреступного подразделения британской NCA отметил следующее: «Хотя версия сайта в даркнете остаётся активной, объём похищаемых данных и активных пользователей маркета значительно сократился. Я не сомневаюсь в том, что операция подорвала доверие преступников к Genesis Market».

Полиция и многие эксперты согласны с тем, что большое число арестов также будет оказывать некий отпугивающий эффект на киберпреступников, участвующих в обмене какими-либо данными или услугами на Genesis Market.

В целом, закрытие киберпреступных сайтов, размещённых в даркнете, является поистине сложной задачей. Ведь местонахождение серверов злоумышленников зачастую трудно определить, а иногда они и вовсе находятся в юрисдикциях, которые не отвечают на запросы иностранных правоохранительных органов и никак не способствуют расследованию.

source: bbc.com/news/technology-65558612

 

[admin]

Эксперты фиксируют сильный спад активности на всех тёмных площадках.

В начале прошлой недели мы упоминали, что ликвидированная в апреле площадка Genesis Market продолжает успешно функционировать в даркнете. При этом как исследователи, так и правоохранители — всё равно отмечают сильный спад онлайн-преступности после закрытия общедоступной версии Genesis Market.

Всё дело в том, что даркнет-версию сайта преступники использовать пока не решаются из-за опасений, что она всё-таки контролируется ФБР, а всё происходящее — просто большой блеф.

В первые несколько дней после рейда ФБР, известного как операция «Cookie Monster», один из операторов Genesis Market попытался развеять опасения пользователей, утверждая, что ФБР конфисковало только открытые веб-домены, а даркнет-версия маркета по-прежнему анонимна и безопасна.

Однако от сомнений так просто не отделаться. Тем более, аккаунт данного оператора позже заблокировала администрация форума, где он и уверял продолжить использование Genesis Market. Вполне возможно, что и это была своеобразная приманка правоохранителей.

«В то время как будущее Genesis Market пока что сомнительно и туманно, его главный конкурент, Russian Market, фактически замер», — заявил Александр Лесли, специалист по киберпреступности в Recorded Future.

«Что касается Russian Market, мы заметили немедленную остановку ежедневного размещения новых записей инфоугонщиков, начиная с 4 апреля 2023 года. Сразу же возник вопрос о том, не был ли ответственный за поставки на Russian Market и Genesis Market арестован в рамках операции "Cookie Monster". Хотя возможно, что Russian Market сам остановил размещение новых данных в качестве меры предосторожности», — добавил Лесли.

Как сообщается, неделю спустя листинг похищенных данных на Russian Market всё же возобновился.

Касательно другого конкурента Genesis Market под названием 2easy Shop, Лесли заявил, что влияние на него было «чуть более непрозрачным», поскольку в течение нескольких месяцев, вплоть до конца 2022 года, ходили слухи о том, что это сайт-ловушка. Тем не менее, доверие к 2easy Shop у преступников постепенно появилось. Однако данный маркет не продемонстрировал значительного увеличения активности после операции «Cookie Monster», в отличии от того же Russian Market.

«Я хочу провести параллель. После того, как Hydra Market был уничтожен в прошлом году, потребовалось около шести месяцев, чтобы рынок восстановился. Я думаю, что мы видим аналогичное движение здесь», — заявил Андраш Тот-Чифра, старший аналитик компании Flashpoint.

Среди своих конкурентов Genesis Market был лучшим в своем классе. Он был (а возможно и есть, если даркнет-версия — не уловка ФБР) универсальной платформой для мошенников, позволяющей преступникам покупать украденные учётные данные, а затем легко использовать их с помощью специального браузерного плагина, просматривая веб-страницы точно так же, как если бы они были физически открыты на компьютерах жертв, обходя любые системы безопасности.

Ранее ФБР заявляло, что их специалисты получили информацию примерно о 59 000 индивидуальных учётных записях пользователей Genesis Market. Видимо, это и вызвало опасения у бывших пользователей. Они переживают, что их криптовалютные адреса и имена пользователей могут быть использованы полицией для установления реальной личности.

В целом, и ФБР, и исследователи кибербезопасности сходятся во мнении, что операция «Cookie Monster» значительно подорвала доверие преступников как к Genesis Market и его администраторам, так и к другим подобным площадкам по типу Russian Market и 2easy Shop. Однако со временем преступная активность всё равно восстановится, так что остаётся только пожелать ФБР удачи в ликвидации других участников тёмного рынка.

 

[admin]

Арестован один из наиболее активных пользователей Genesis Market

Нидерландская полиция арестовала человека, который считается самым активным пользователем Genesis Market в стране. Он также входил в топ-10 наиболее заметных участников площадки по всему миру.

Задержание 32-летнего мужчины, имя которого не разглашается в интересах следствия, произошло еще 18 июля, однако известно об этом стало только сейчас, что объясняется интересами следствия. Известно, что подозреваемый постоянно проживал в Бразилии и лишь на некоторое время прибыл в Нидерланды. Сам арест произошел в городе Барендрехт.

Сообщается также, что голландец был одним из крупнейших торговцев на площадке. Он тратил и зарабатывал на Genesis Market десятки тысяч евро. Он был приоритетной целью кибердепартамента местной полиции с тех пор, как в ходе операции Cookie Monster площадка была закрыта, а сведения о ее пользователях оказались в руках силовиков.

«Мы подозреваем, что мужчина обманул многих людей своими действиями. Есть сообщения о людях, которые были ограблены на десятки тысяч евро. С арестом этого подозреваемого мы сделали важный шаг в этом расследовании», — констатировал глава кибердепартамента полиции Роттердама Рубен ван Велл (Ruben van Well).

Он добавил, что не исключены новые аресты активных пользователей Genesis Market, причем не только в Нидерландах, но и по всему миру. Данные о посетителях ресурса до сих пор анализируют силовики по всему миру, в том числе агенты Федерального бюро расследований.

source: politie.nl/nieuws/2023/juli/24/07-vermoedelijk-grootste-nederlandse-gebruiker-van-de-genesis-market-aangehouden.html