Kötü şöhretli siber suç pazarı Genesis pazarının yalnızca davetlilere açık web sitesi kapatılalı neredeyse iki gün oldu. Ancak araştırmacılar, altyapının hala orada olduğu ve yenisinin ortaya çıkması an meselesi olduğu konusunda uyardılar.
Tehdit istihbaratı analisti Dominic Alvieri, Perşembe günü Genesis altyapısının aktif kalması hakkında tweet attı ve uzun süredir devam eden bir pencerenin ekran görüntüsünü paylaştı. Bunu The Cyber Express ile doğruladı.
Genesis Market altyapısı hala aktif.
/genesis7… https://t.co/RUNfrdc2Wi pic.twitter.com/m9kxccP5Ua
— Dominic Alvieri (@AlvieriD) 6 Nisan 2023
“Gönderdiğim bir arka uç soğan oturumu hala yayında. Tekrar kontrol ettim. Hala canlı. Etki alanı adresi /genesis7 ile başlıyor,” dedi The Cyber Express’e.
İsrail merkezli siber güvenlik firması Hudson Rock’ın Kurucu Ortağı ve CTO’su Alon Gal, The Cyber Express’e “Açık web Genesis pazar alanlarının kaldırılması ve kullanıcılarının tutuklanması, pazarın popülaritesini azaltmak ve gelecekteki alıcıları caydırmak için önemli olsa da” dedi.
Bilgi hırsızı günlüklerinden alınan kimlik bilgileri, tehdit aktörlerinin bu şekilde ayrılamayacak kadar kazançlı bir vektör olduğunu söyledi.
“Genesis’in karanlık ağ altyapısının şu an itibariyle hala kullanılabilir olduğunu not etmek önemlidir.”
Genesis piyasası düşüşte ama bitmedi
Genesis market, siber suç dünyasında önde gelen bir ilk erişim aracısı (IAB) idi ve küresel olarak bilgisayar ağlarına saldıran fidye yazılımı aktörlerinin aradığı sistem türüne kolay erişim sunuyordu.
Siteye yalnızca davetiye kodu olan kullanıcılar erişebilir. Bununla birlikte, Gal, Genesis pazarına ilişkin değerlendirmesinde, sitede 20 $ harcayan üyelerin bir tane oluşturabileceğinden, bir davetiye kodu almanın nispeten kolay olduğunu yazdı.
2020’de platform, kullanıcılara 20.000’i Amerika Birleşik Devletleri’nden olmak üzere 230.000’den fazla virüslü bilgisayarın günlüklerine erişim sağladı. Gal, kullanıcıların belirli kurbanları hedeflemek için sonuçları ülkeye, bulaşma tarihine, IP aralığına ve tarama geçmişine göre filtreleyebileceğini yazdı.
5 Nisan 2023’te kolluk kuvvetleri, Genesis pazarının kapatıldığını ve yasa dışı çevrimiçi pazar yeri ile bağlantılı 120’den fazla kişinin tutuklandığını duyurdu.
Gal, ağın ele geçirilmesi ve operatörlerin kolluk kuvvetleri tarafından tutuklanmasıyla, tehdit aktörlerinin yenilgiyi kabul etmeyeceğini gözlemledi.
“Önce faaliyetlerini bilgi hırsızı günlüklerinin Telegram, XMPP, forumlar vb. aracılığıyla doğrudan satışını destekleyecek şekilde değiştirecekler ve sonunda yeni bir pazar açacaklar” dedi.
Alvieri’nin tweet’i böyle bir hareketi onaylıyor ancak aynı zamanda mevcut alan adının fırsatçı suçluları yakalamak için bir bal küpü olup olmadığı konusunda şüphelere yol açtı.
Alvieri, “Girişin bir bal küpü olup olmadığı şu anda belli değil” dedi.
“Ancak, tüm üyelerin tutuklanmadığına inanıyorum. Liderlerden birkaçı güvenliği biliyor ve kimliklerini iyi saklıyor gibi görünüyor” dedi.
Genesis pazarı ve koordineli küresel eylem
Europol, “17 ülkeyi kapsayan eşi benzeri görülmemiş bir yasa uygulama operasyonu, çalınan hesap kimlik bilgilerini dünya çapında bilgisayar korsanlarına satan en tehlikeli pazar yerlerinden biri olan Genesis Market’in kapatılmasıyla sonuçlandı.
“4 Nisan’daki eylem günü sonucunda bu kaçak hizmet kapatıldı ve altyapısına el konuldu.”
FBI, Birleşik Krallık, İtalya, Avustralya, Kanada, Romanya, Fransa, İspanya, Almanya, İsveç, Polonya, Hollanda, Finlandiya, İsviçre, Estonya, İzlanda ve Yeni Zelanda’da polis ve kolluk kuvvetlerinin yardımıyla küresel operasyona liderlik etti. Polis ve Europol.
ABD Adalet Bakanlığı basın açıklaması, Genesis pazarının Mart 2018’den bu yana dünya çapında güvenliği ihlal edilmiş 1,5 milyondan fazla bilgisayardan çalınan verilere erişim sağladığını söyledi.
Finans sektörüne, kritik altyapıya ve çeşitli devlet kurumlarına ait olanlar da dahil olmak üzere 80 milyondan fazla hesap erişim kimlik bilgisinin satışı ilan edildi.
Avustralya Federal Polisi (AFP) tarafından yapılan açıklamada, “Avustralyalı kurbanların toplam sayısı hâlâ hesaplanıyor, ancak müfettişler Genesis pazarında satışa sunulan 36.000 güvenliği ihlal edilmiş Avustralya cihazı belirlediler” dedi.
“Genesis pazarında bulunan çalıntı bilgilerle eşleşen ReportCyber’a 600’den fazla rapor” eklendi.
AFP ve bölgesel ortakları 24 arama emri çıkardı ve Avustralya’nın üç eyaletinde tutuklanan 10 kişi de dahil, ülkedeki gizliliği ihlal edilmiş bilgilerin en üretken alıcısı olduğu bildirilen Victorian bir adam da dahil.
“Operasyonel faaliyet önümüzdeki haftalarda devam edecek ve daha fazla tutuklama bekleniyor. Henüz kapınızı çalmadık diye hiç çalmayacağız sanmayın” dedi.
Genesis’in yasadışı uyuşturucuların, çalınan verilerin ve diğer yasa dışı mal ve hizmetlerin satışı için bir merkez olduğu biliniyordu. Hollanda Polisi, vatandaşlarının kişisel bilgilerinin ele geçirildiğini belirlemeye yardımcı olacak bir portal geliştirdi.
AFP Komiser Yardımcısı Siber Komutan Scott Lee, Genesis pazarının çalınan Avustralya kimlik bilgilerinin satışı ve güvenliği ihlal edilmiş Avustralya cihazlarına erişim yoluyla Avustralya topluluğuna 46 milyon dolarlık zarar verme potansiyeline sahip olduğunu söyledi.
Web sitesine yalnızca kullanıcıların kimliklerini ve konumlarını gizlemek için tasarlanmış özel yazılımlar aracılığıyla erişilebiliyordu ve bu da onu, anonimlik arayan suçlular için popüler bir yer haline getiriyordu.
“Anonim olduğunuz veya polisin bunu ciddiye almadığı inancıyla bu web sitesini çalıntı bilgileri satın almak için kullandıysanız, yanılıyorsunuz. AFP açıklamasında Lee, “Bu operasyon, siber suçları her düzeyde ortadan kaldırmaya kararlı olduğumuzu kanıtlıyor” dedi.