in

¿Quién es el corredor de acceso a la red «Babam»? – Cáncer sobre seguridad


Los ciberdelincuentes que usan ransomware rara vez obtienen el primer acceso al objetivo. Más a menudo, este acceso se adquiere de un agente ciberdelincuente que se especializa en adquirir credenciales para el acceso remoto, como los nombres de usuario y las contraseñas necesarias para conectarse de forma remota a la red del objetivo. En esta publicación, analizamos las notas que «Babam“Este fue elegido por un ciberdelincuente que ha vendido este tipo de tráfico a grupos de ransomware en muchas ocasiones en los últimos años.

Desde principios de 2020, Babam ha organizado numerosas subastas en el foro de ciberdelincuencia en ruso. Explotar, principalmente vendiendo credenciales de redes privadas virtuales (VPN) robadas a varias empresas. Babam ha escrito más de 270 publicaciones desde que se unió a Exploit en 2015, incluidas docenas de hilos de ventas. Sin embargo, ninguna de las publicaciones de Babam sobre Exploit contiene información personal o pistas sobre su identidad.

Pero en febrero de 2016, Babam se unió a ellos. Verificado, otro foro sobre delitos en ruso. Verified ha sido pirateado al menos dos veces en los últimos cinco años y su base de datos de usuarios se ha puesto en línea. Esta información muestra que Babam se unió con la dirección de correo electrónico «Verificada».operans@gmail.comLa última filtración verificada también reveló mensajes privados intercambiados por miembros del foro, incluidos más de 800 mensajes privados que Babam ha enviado o recibido en el foro a lo largo de los años.

A principios de 2017, Babam le confió a otro usuario verificado a través de un mensaje privado que era de Lituania. En prácticamente todas sus publicaciones en foros y mensajes privados, se puede ver a Babam comunicándose en ruso transliterado en lugar de usar el alfabeto cirílico. Esto es común entre los ciberdelincuentes para quienes el ruso no es su primer idioma.

La plataforma de inteligencia cibernética Constella Intelligence informó a KrebsOnSecurity que la dirección operans@gmail.com se utilizó en 2016 para crear una cuenta. registrarse filmai.in, un servicio de transmisión de películas para hablantes de lituano. El nombre de usuario asociado a esta cuenta era «bo3dom. «

Una búsqueda whois inversa en DomainTools.com dice que operans@gmail.com se utilizó para registrar dos nombres de dominio: bonnjoeder[.]com en 2011 y sanjulianhotels[.]de (2017). No está claro si estos dominios estuvieron en línea alguna vez, pero la dirección en ambos registros era «24 Brondegstrasse» en Gran Bretaña. [Full disclosure: DomainTools is a frequent advertiser on this website.]

Una búsqueda inversa en DomainTools en «24 Brondeg St.» revela otro dominio: wwwecardone[.]com. El uso de dominios que comienzan con «www» es bastante común entre los phishers y los sitios pasivos de «typosquatting» que intentan robar credenciales de sitios web legítimos cuando las personas ingresan un dominio incorrectamente, como: B. accidentalmente el «.» Después de ingresar «www».

Un banner de la página de inicio del Foro de Delitos Cibernéticos de habla rusa verificado.

Busque en DomainTools el número de teléfono en los registros de WHOIS de wwwecardone[.]com – +44.0774829141 – conduce a un puñado de dominios de typosquatting similares, que incluyen wwwebuygold[.]com y wwwpexppay[.]com. Otro número de teléfono del Reino Unido en un récord más reciente para wwwebuygold[.]com dominio – 44.0472882112 – está vinculado a otros dos dominios – cómo se desbloquea maniphone[.]com, y PortalsagePay[.]com. Todos estos dominios datan de 2012 a 2013.

Los registros de registro originales para los dominios iPhone, Sagepay y Gold comparten una dirección de correo electrónico: devrian26@gmail.com. Una búsqueda del nombre de usuario «bo3dom» a través del servicio Constella revela una cuenta en ipmart-forum.com, un foro ahora desaparecido que trata sobre productos de TI como dispositivos móviles, computadoras y juegos en línea. Esta búsqueda muestra el usuario bo3dom, que está registrado en ipmart-forum.com con la dirección de correo electrónico devrian27@gmail.com, y desde una dirección de Internet en Vilnius, Lituania.

Devrian27@gmail.com se utilizó para registrar varios dominios, incluidos wwwsuperchange.ru en 2008 (nuevamente tenga en cuenta el sospechoso «www» como parte del nombre de dominio). La función de recuperación de contraseña de Gmail dice que la dirección de correo electrónico de respaldo es para devrian27@gmail.com. lee bo3********@gmail.com. Gmail acepta la dirección bo3domster@gmail.com como correo de recuperación para esta cuenta devrian27.

Según Constella, la dirección bo3domster@gmail.com ha estado expuesta a múltiples violaciones de datos a lo largo de los años, y en cada caso se ha utilizado una de dos contraseñas: «lebeda1» y «a123456«.

Si busca en Constella cuentas que utilicen estas contraseñas, verá una serie de direcciones de correo electrónico adicionales «bo3dom», que incluyen bo3dom@gmail.com. Si se desplaza a esta dirección en Constella, muestra que alguien con el nombre Vytautas Mockus lo usó para registrar una cuenta en mindjolt.com, un sitio web con docenas de simples juegos de rompecabezas que los visitantes pueden jugar en línea.

En algún momento, mindjolt.com aparentemente también fue pirateado, porque según una copia de su base de datos en Constella, bo3dom@gmail.com usó dos contraseñas en esta página: lebeda1 y a123456.

Una búsqueda inversa de WHOIS para «Vytautas Mockus» en DomainTools muestra la dirección de correo electrónico. devrian25@gmail.com se utilizó para registrar el nombre de dominio en 2010 Dinero perfecto[.]co. Este es un personaje de Perfectmoney[.]com, una de las primeras monedas virtuales que era muy popular entre los ciberdelincuentes en ese momento. El número de teléfono asociado con el registro de este dominio era «86.7273687«.

Una búsqueda en Google de «Vytautas Mockus» dice que hay una persona con ese nombre que dirige una empresa de servicio de alimentos móvil en Lituania llamada «Palvisa. ”Un informe sobre Palvisa (PDF) comprado en Rekvizitai.vz – un directorio oficial en línea de empresas lituanas – dice que Palvisa fue fundada en 2011 por un simulacro de Vytautaus usando el número de teléfono 86.7273687y la dirección de correo electrónico bo3dom@gmail.com. El informe dice que Palvisa está activo pero no tenía empleados más que el fundador.

El Sr. Mockus, de 36 años, a quien contactaron en bo3dom@gmail.com, expresó su asombro por cómo su información personal terminó en tantos registros. «No estoy involucrado en ningún crimen», escribió Mockus en respuesta.

Un mapa mental aproximado de las conexiones mencionadas en esta historia.

Los dominios que aparentemente Babam registró durante casi 10 años sugieren que inicialmente robó principalmente a otros ciberdelincuentes. Hasta 2015, Babam estuvo muy involucrado en el «cardado», la venta y el uso de datos de tarjetas de pago robadas. Para 2020, había cambiado casi por completo su enfoque hacia la venta de acceso a empresas.

Un perfil creado por la compañía de inteligencia de amenazas Flashpoint afirma que Babam recibió al menos cuatro calificaciones de comentarios positivos de los delincuentes asociados con la banda de ransomware LockBit en el foro de exploits cibernéticos.

El colectivo de ransomware LockBit le da a Babam comentarios positivos para vender acceso a varias organizaciones de víctimas. Imagen: Flashpoint

Según Flashpoint, en abril de 2021, Babam anunció la venta de credenciales Citrix para una empresa internacional de pruebas, inspección y certificación de laboratorio con ventas anuales de más de $ 5 mil millones y más de 78,000 empleados.

Flashpoint dice que Babam anunció originalmente que había vendido el acceso, pero luego reabrió la subasta porque el comprador potencial se salió del trato. Unos días después, Babam volvió a publicar la subasta, agregó más información sobre la profundidad del acceso ilegal y bajó el precio de venta. El acceso se vendió menos de 24 horas después.

“Según las estadísticas proporcionadas y los informes de fuentes sensibles, los analistas de Flashpoint tienen un alto grado de certeza de que la organización comprometida probablemente Bureau Veritas, una organización con sede en Francia que opera en una amplia variedad de sectores ”, concluyó la empresa.

En noviembre, Bureau Veritas admitió que cerró su red en respuesta a un ciberataque. La compañía no dijo si el incidente fue ransomware y, de ser así, qué tipo de ransomware, pero su respuesta al incidente es directamente del Libro de estrategias de respuesta a ataques de ransomware. Bureau Veritas aún no ha respondido a las solicitudes de comentarios; su declaración pública más reciente, fechada el 2 de diciembre, no proporciona más detalles sobre la causa del incidente.

Flashpoint señala que el uso de Babam del ruso transliterado tanto en Exploit como en Verified continuará hasta alrededor de marzo de 2020, cuando cambia principalmente a Cyrillc en los comentarios del foro y en los hilos de ventas. Según Flashpoint, esto podría ser una indicación de que alguien más ha estado usando la cuenta de Babam desde entonces, o más probablemente que Babam inicialmente tenía un bajo nivel de ruso y sus habilidades lingüísticas y su confianza mejoraron con el tiempo.

La creencia en la última teoría es que Babam todavía comete errores lingüísticos en sus publicaciones que sugieren que el ruso no es su idioma original, encontró Flashpoint.

«El uso de la doble» n «por parte del actor de amenazas en palabras como» проданно «(correcto – продано) y» сделанны «(correcto – сделаны) demuestra que este estilo de escritura no es posible en la traducción automática porque no sería el correcto una ortografía de la palabra ser ”, escribieron los analistas de Flashpoint.

«Este tipo de error gramatical se encuentra a menudo en personas que no han tenido suficiente escolaridad o que el ruso es su segundo idioma», continuó el análisis. “En tales casos, cuando alguien intenta deletrear una palabra correctamente, accidentalmente o sin saberlo, exagera la ortografía y comete este tipo de errores. Al mismo tiempo, el lenguaje coloquial puede ser fluido o incluso nativo. Eso suele ser típico de una persona que proviene de los estados de la ex Unión Soviética «.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El software espía del grupo NSO utilizado para penetrar los teléfonos del Departamento de Estado de EE. UU.

La investigación describe 17 marcos maliciosos utilizados para atacar redes con brecha de aire