Hackers que vulneraron 700 mil cuentas, están presos

El Ministerio del Interior de la Federación Rusa y el equipo de investigación de Group IB detuvieron a hackers informáticos que irrumpieron en las cuentas de 700,000 clientes de tiendas populares de Internet

La Administración “K” de la MIA de Rusia, con la asistencia de Group-IB, una compañía internacional especializada en la prevención de ataques cibernéticos y el desarrollo de productos de seguridad de la información, detuvo a dos ciberdelincuentes que ingresaban y robaban las cuentas del programa de lealtad miembros de tiendas en línea populares, sistemas de pago y corredores de apuestas.

Los objetivos del ataque fueron sitios web de docenas de compañías, incluyendo PayPal, Ulmart, Biglion, KupiKupon, Groupon.

En total, aproximadamente 700,000 cuentas fueron comprometidas, 2,000 de las cuales los piratas informáticos pusieron a la venta por $ 5 cada una. Los detenidos admitieron en el acto que habían ganado al menos 500,000 rublos. Sin embargo, la cantidad real de daño aún no se ha determinado.

La investigación comenzó en noviembre de 2015, después de que se realizó un ataque cibernético a gran escala en el sitio web de una gran tienda en línea para obtener acceso a las cuentas personales de los miembros del programa de lealtad de la tienda, que recibieron bonos por compras. En un mes, se comprometieron alrededor de 120,000 cuentas.

Se descubrió que los atacantes habían recopilado información de cuenta comprometida de varios servicios de Internet en foros de piratas informáticos y usaban programas especiales para adivinar automáticamente contraseñas de cuentas en el sitio web de la tienda en línea.

Los ciberdelincuentes aprovecharon el hecho de que muchos usuarios del sitio web usan el mismo par de inicio de sesión / contraseña en varios recursos. Si los inicios de sesión y las contraseñas surgieron en el sitio web de la tienda bajo ataque, piratearon esas cuentas personales.

Los hackers verificaron el monto de los bonos acumulados y vendieron las cuentas comprometidas en foros de hackers a un precio de $ 5 por cuenta o 20-30% del saldo nominal de las cuentas.

Los compradores luego los usaron para pagar los productos con los bonos.

Rápidamente se reveló que los hackers se dedicaban a más que vender cuentas comprometidas.

También ofrecieron servicios para “secuestrar” cuentas, cambiando el número de teléfono y el correo electrónico en las cuentas de la tienda en línea.

El costo de ese “servicio” fue del 10% del saldo de bonificación en la cuenta.

Para cubrir sus huellas y obstaculizar los servicios de seguridad de las compañías, los hackers lanzaron sus ataques desde diferentes direcciones IP, utilizando anonimizadores y cambiando la huella digital del navegador (User-Agent).

En total, las solicitudes de autorización provienen de más de 35,000 direcciones IP únicas.

Después de que los grandes minoristas comenzaron a verificar todos los pedidos con bonificaciones de pago a principios de 2016, los piratas informáticos cambiaron a otras tiendas en línea menos conocidas.

Además, los piratas informáticos comenzaron a trabajar en trucos: información sobre nuevas tiendas en línea con programas de bonos y servicios de cupones donde era posible acceder a cuentas personales, por lo que los atacantes prometieron pagar hasta el 50% del monto recibido de la venta adicional de las cuentas comprometidas.

En el curso de la investigación, los especialistas del Group IB establecieron las identidades de los intrusos.

El líder del grupo era un residente de la región de Ryazan, nacido en 1998, y su socio, que proporcionó asistencia técnica para su tienda en línea conjunta, residía en la región de Astrakhan y nació en 1997.

En mayo de 2018, ambos fueron detenidos por la Administración “K” de la MIA de Rusia. Durante una búsqueda, se incautaron pruebas de sus actividades ilegales, junto con narcóticos.

Los detenidos fueron acusados ​​en virtud del párrafo 2 del artículo 272 (“Acceso ilegal a la información informática”) y el artículo 228 (“Adquisición, almacenamiento, transporte, … ilícitos de estupefacientes”) del Código Penal de la Federación de Rusia.

Los sospechosos han confesado.

La investigación continúa.