FBI prende 119 pessoas vinculadas ao mercado Genesis em repressão ao cibercrime

A operação internacional coordenada de aplicação da lei desmantelou o Genesis Market, um mercado online ilegal especializado na venda de credenciais roubadas associadas a e-mail, contas bancárias e plataformas de mídia social.Coincidindo com a apreensão da infraestrutura, a grande repressão, que envolveu autoridades de 17 países, culminou em 119 prisões e 208 buscas em 13 nações. No entanto, o espelho .onion do mercado parece ainda estar funcionando.

O da lei de aplicação exercício “sem precedentes” recebeu o codinome de Operação Cookie Monster.

O Genesis Market, desde sua criação em março de 2018, evoluiu para um importante centro de atividades criminosas, oferecendo acesso a dados roubados de mais de 1,5 milhão de computadores comprometidos em todo o mundo, totalizando mais de 80 milhões de credenciais.

A maioria das infecções associadas ao malware relacionado ao Genesis Market foi detectada nos EUA, México, Alemanha, Turquia, Suécia, Itália, França, Espanha, Polônia, Ucrânia, Arábia Saudita, Índia, Paquistão e Indonésia, entre outros, de acordo com dados recolhidos pela Trellix.

Algumas das famílias de malware proeminentes que foram aproveitadas para comprometer as vítimas incluem AZORult, Raccoon, RedLine e DanaBot, que são capazes de roubar informações confidenciais dos sistemas dos usuários. Também entregue através do DanaBot é uma extensão desonesta do Chrome projetada para desviar os dados do navegador.

O Departamento de Justiça dos EUA (DoJ) em comunicado “As credenciais de acesso à conta anunciadas para venda no Genesis Market incluíam aquelas conectadas ao setor financeiro, infraestrutura crítica e agências governamentais federais, estaduais e locais”, disse.

O DoJ chamou o Genesis Market de um dos “corretores de acesso inicial (IABs) mais prolíficos no mundo do cibercrime”. O Departamento do Tesouro dos EUA, em um anúncio coordenado, sancionou a loja criminosa, descrevendo-a como um “recurso fundamental” usado por agentes de ameaças para atingir organizações do governo dos EUA.

Além das credenciais, a Genesis também vendeu impressões digitais de dispositivos – que incluem identificadores exclusivos e cookies de navegador – para ajudar os agentes de ameaças a burlar os sistemas de detecção antifraude usados ​​por muitos sites.

“A combinação de credenciais de acesso roubadas, impressões digitais e cookies permitiu que os compradores assumissem a identidade da vítima, enganando sites de terceiros fazendo-os pensar que o usuário do Genesis Market era o verdadeiro proprietário da conta”, acrescentou o DoJ.

Documentos judiciais revelam que o Federal Bureau of Investigation (FBI) dos EUA obteve acesso aos servidores de back-end do Genesis Market duas vezes em dezembro de 2020 e maio de 2022, permitindo que a agência acessasse informações pertencentes a cerca de 59.000 usuários do bazar do cibercrime.

Os pacotes de informações roubadas coletadas de computadores infectados (também conhecidos como “bots”) foram vendidos por algo entre US$ 0,70 e várias centenas de dólares, dependendo da natureza dos dados, de acordo com a Europol e a Eurojust.

“O mais caro conteria informações financeiras que permitiriam o acesso a contas bancárias online”, observou a Europol, afirmando que os criminosos que compram os dados também recebem ferramentas adicionais para usá-los sem chamar a atenção.

“Os compradores recebiam um navegador personalizado que imitava o da vítima. Isso permitia que os criminosos acessassem a conta da vítima sem acionar nenhuma das medidas de segurança da plataforma em que a conta estava.”

O navegador proprietário baseado no Chromium, conhecido como Genesium, é multiplataforma, com os mantenedores reivindicando recursos como “navegação anônima” e outras funcionalidades avançadas que permitem que seus usuários contornem os sistemas antifraude.

O Genesis Market, ao contrário do Hydra e de outros mercados ilícitos, também era acessível pela clearnet, diminuindo assim a barreira de entrada para agentes de ameaças menos qualificados que buscam obter identidades digitais para violar contas individuais e sistemas corporativos.

que a remoção Espera -se tenha um “efeito cascata em toda a economia subterrânea”, à medida que os agentes de ameaças buscam alternativas para preencher o vazio deixado pelo Genesis Market.

Genesis Market é o mais recente de uma longa linha de serviços ilegítimos que foram derrubados pela aplicação da lei. Ele também chega exatamente um ano após o desmantelamento da Hydra, que foi derrubada pelas autoridades alemãs em abril de 2022 e criou uma “mudança sísmica no cenário do mercado da darknet em língua russa”.

“Quase um ano após a derrubada da Hydra, cinco mercados – Mega, Blacksprut, Solaris, Kraken e OMG!OMG! Market – emergiram como os maiores players com base no volume de ofertas e no número de vendedores”, disse o Flashpoint em um novo relatório.

O desenvolvimento também segue o lançamento de um novo mercado da dark web conhecido como STYX, voltado principalmente para fraudes financeiras, lavagem de dinheiro e roubo de identidade. Diz-se que abriu suas portas por volta de 19 de janeiro de 2023.

“Alguns exemplos de ofertas de serviços específicos comercializados na STYX incluem serviços de saque, despejos de dados, cartões SIM, DDOS, bypass 2FA/SMS, documentos de identificação falsos e roubados, malware bancário e muito mais”, disse a Resecurity em um artigo detalhado.

Como o Genesis Market, o STYX também oferece utilitários projetados para contornar soluções antifraude e acessar contas comprometidas usando identificadores digitais granulares, como arquivos de cookies roubados, dados de dispositivos físicos e configurações de rede para falsificar logins de clientes legítimos.

O surgimento do STYX como uma nova plataforma no ecossistema cibercriminoso comercial é mais um sinal de que o mercado de serviços ilegais continua a ser um negócio frutífero, permitindo que criminosos lucrem com roubo de credenciais e dados de pagamento.

“A maioria dos fornecedores do STYX Marketplace é especializada em serviços de fraude e lavagem de dinheiro visando plataformas populares de banco digital, mercados online, comércio eletrônico e outros aplicativos de pagamento”, observou Resecurity. “As geografias visadas por esses agentes de ameaças são globais, abrangendo os EUA, UE, Reino Unido, Canadá, Austrália e vários países da APAC e do Oriente Médio”.

Fonte: thehacknews