Araştırmacılar, siber suç forumları için kimlik bilgileri içeren 120.000 virüslü sistem keşfetti. Araştırmacılar, bilgisayarların çoğunun bilgisayar korsanlarına ait olduğunu söylüyor.
Verileri analiz eden tehdit araştırmacıları, bilgisayar korsanlığı forumlarında oturum açmak için kullanılan parolaların genellikle devlet web sitelerindeki parolalardan daha güçlü olduğunu keşfetti.
Hacker oturumlarının güvenliği ihlal edildi
Tehdit istihbaratı şirketi Hudson Rock’taki araştırmacılar, 100 siber suç forumunu karıştırdıktan sonra, bazı bilgisayar korsanlarının yanlışlıkla bilgisayarlarına virüs bulaştırdığını ve oturum açma bilgilerini çaldığını keşfetti.
Hudson Rock, ele geçirilen bilgisayarların 100.000’inin bilgisayar korsanlarına ait olduğunu ve siber suç forumları için kimlik bilgilerinin sayısının 140.000’i aştığını söylüyor.
Araştırmacılar, halka açık sızıntılardan ve doğrudan tehdit aktörlerinden alınan bilgi hırsızı günlüklerinden bilgi topladı.
Bilgi hırsızları, oturum açma bilgileri için bilgisayardaki belirli konumları arayan bir tür kötü amaçlı yazılımdır. Ortak hedef, otomatik doldurma ve parola depolama özellikleri nedeniyle web tarayıcılarıdır.
Hudson Rock baş teknoloji sorumlusu Alon Gal, BleepingComputer’a “dünyanın dört bir yanındaki bilgisayar korsanları, sahte yazılım sonuçlarını teşvik ederek veya kurbanları virüslü yazılımları indirmeye yönlendiren YouTube eğitimleri aracılığıyla fırsatçı bir şekilde bilgisayarlara bulaşıyor” dedi.
Cazibesine kapılanlar arasında, muhtemelen daha az yetenekli olan diğer bilgisayar korsanları da vardı, bu yüzden kısayol kullanmaya çalışan diğer saf kullanıcılar gibi virüs kaptılar.
Güvenliği ihlal edilmiş bilgisayarların sahiplerini bilgisayar korsanı veya en azından bilgisayar korsanı meraklısı olarak belirlemek, kişinin gerçek kimliğini de açığa çıkaran bilgi hırsızı günlüklerindeki verilere bakılarak mümkündü:
- Bilgisayarlarda bulunan ek kimlik bilgileri (ek e-postalar, kullanıcı adları)
- Kişisel bilgileri (isimler, adresler, telefon numaraları) içeren verileri otomatik doldur
- Sistem bilgileri (bilgisayar adları, IP adresleri)
Önceki bir blog gönderisinde Hudson Rock, şirketlere Citrix/VPN/RDP erişimi satmasıyla tanınan La_Citrix adlı önde gelen bir tehdit aktörünün yanlışlıkla bilgisayarlarına nasıl bulaştığını anlatıyor.
Hudson Rock, toplanan verilere bakarak, güvenliği ihlal edilmiş 57.000’den fazla kullanıcının Nulled’da hesapları olduğunu belirledi.[.]yetişmekte olan siber suçlular topluluğuna.
kaynak: Hudson Rock
Araştırmacılar, feshedilmiş BreachForums kullanıcılarının siteye giriş yapmak için en güçlü parolalara sahip olduğunu, kimlik bilgilerinin %40’ından fazlasının en az 10 karakter uzunluğunda olduğunu ve dört tür karakter içerdiğini buldu.
kaynak: Hudson Rock
Ancak bilgisayar korsanları, ardışık sayılar dizisi gibi çok zayıf parolalar da kullandı. Bu, topluluğa dahil olma konusundaki ilgisizlikleriyle açıklanabilir.
Hesabı sadece tartışmalara ayak uydurmak, hangi verilerin satılık olduğunu kontrol etmek veya daha önemli bir şey olduğunda foruma erişmek için kullanıyor olabilirler.
Araştırmacılar ayrıca, siber suç forumları için kimlik bilgilerinin, aradaki fark büyük olmasa da, genellikle devlet web sitelerinin girişlerinden daha güçlü olduğunu keşfettiler.
kaynak; Hudson Kayası
Hudson Rock’a göre, bulaşmaların çoğu, aynı zamanda birçok bilgisayar korsanının popüler tercihleri olan üç bilgi hırsızından kaynaklanıyordu: RedLine, Raccoon ve Azorult.
Şu anda, çok sayıda ilk erişim ihlali, bir tehdit aktörünün meşru bir kullanıcıyı taklit etmek için ihtiyaç duyduğu tüm verileri toplayan, genellikle sistem parmak izi olarak adlandırılan bir bilgi hırsızıyla başlar.