El pasado 2 de agosto, el sistema Group-IB Threat Intelligence & Attribution detectó una publicación poco convencional en varios foros de tarjetas.
La publicación despertó inmediatamente el interés de los investigadores del Grupo-IB, porque los ciberdelincuentes
Investigaciones posteriores revelaron que la publicación no era más que un anuncio muy audaz para ampliar la base de usuarios de la tienda All World Cards, que se unió al mercado de herramientas de transacciones monetarias en mayo de 2021.
Esta publicación analiza la última base de datos de registros bancarios robadas de 1 millón, así como la breve historia de la tienda de All World Cards y la actividad de sus supuestos propietarios, que probablemente no sean los novatos en el negocio.
“Un acto extraordinario de generosidad”

Figura 4 – Captura de pantalla del foro “xss” (usuario del foro Xss: “Con solo el 3% de validez, ¿se generan estos СС?”).
Figura 5 – Captura de pantalla del sistema de atribución e inteligencia de amenazas de Group-IB
Se puede suponer que la mayoría de las tarjetas inválidas han sido eliminadas de la base de datos, o es más reciente que lo declarado por el autor de la publicación.
Los investigadores de Group-IB establecieron que el propietario de la base de datos utilizó varios servicios de intercambio de archivos para cargarla.
La base de datos estaba contenida en un archivo zip protegido por contraseña con un archivo de texto que contenía 1 millón de líneas con las siguientes líneas:
- Número de tarjeta;
- Fecha de caducidad;
- Código CVV / CVC;
- Nombre del titular de la tarjeta;
- País;
- Estado;
- Ciudad;
- La dirección;
- Código postal;
- Correo electrónico y teléfono para algunas entradas
Sin embargo, no todos los campos anteriores estaban disponibles para todos los registros de la base de datos.
Según el equipo de Inteligencia de Amenazas de Group-IB, más de 200.000 (22%) de las tarjetas de pago comprometidas eran de bancos indios, seguidos de instituciones financieras mexicanas (9%), estadounidenses (9%) y australianas (8%).
La distribución de tarjetas en el lote por país del banco emisor se muestra en la Figura 6 a continuación.
Group-IB continúa la campaña de divulgación para informar a las organizaciones financieras afectadas para que puedan tomar las medidas necesarias para mitigar el impacto potencial de los datos comprometidos.
Figura 7 – Gráfico de distribución de datos de tarjetas bancarias comprometidas por tipo
La distribución de datos de herramientas bancarias comprometidas por los sistemas de pago es aproximadamente la misma: las tarjetas Visa representaron el 48%, mientras que las Mastercard se ubicaron en el 47%.
Algunos de los registros de tarjetas bancarias comprometidos tenían direcciones IP mencionadas.
Un total de 77 unidades de la lista completa no corresponden al algoritmo de Luhn (el algoritmo para verificar si el número en una tarjeta de plástico es correcto).
A juzgar por el análisis de Group-IB TI&A, menos del 2% de las tarjetas de la base de datos se superponen con los datos de tarjetas bancarias previamente ofrecidos a la venta en cualquier recurso subterráneo, incluidas las tarjetas de Swarmshop reciente .y fugas de BriansClub.
Un análisis más detallado de la actividad del usuario llamado “AW_cards” reveló que es el autor de la tienda de tarjetas All World Cards recientemente establecida.
Todas las tarjetas del mundo
Se puede suponer que 1 millón de tarjetas ofrecidas de forma gratuita se colocaron previamente en la tienda de tarjetas.
Figura 9 – Página de inicio de sesión de la tienda de tarjetas “Todas las tarjetas del mundo”
Los propietarios de la tienda de tarjetas están activos en varios foros usando dos apodos “AW_cards” y “AW_support”.
El 2 de agosto de 2021, apareció un mensaje sobre la contratación de vendedores de tarjetas en el foro “xss”.
Imagen 12 – Captura de pantalla del foro “xss” (AW_cards: “Reclutamos proveedores de tarjetas bancarias”)



A pesar de que “All World Cards” es un nombre nuevo entre las tiendas cibercriminales, su propietario no es nuevo en el negocio de vender estos datos y administrar dichos recursos.
|
Información de valor para ejecutivos que toman decisiones de negocios |
AW_cards también ha escrito reseñas en varios hilos con artículos ya publicados.


Este depósito se puede gastar en varias transacciones en el foro, pero también puede servir como seguro y usarse para pagar daños en caso de que el propietario del depósito engañe a alguien.
Lo más probable es que hacer un depósito también sea algún tipo de publicidad, ya que es más probable que los usuarios del foro confíen en las cuentas con depósito.
Este es un caso único en el que un nuevo nombre para el negocio del mercado está utilizando una inversión financiera tan grande para publicitar su propia tienda de tarjetas.
Un total de 1 millón de plásticos ofrecidos de forma gratuita es un caso único.
A pesar del nuevo nombre, las acciones de los propietarios de la tienda de estos recursos roados para promocionar la nueva plataforma indican que es probable que no sean ajenos a este negocio.
Desde la creación del mercado hace 2 meses, se han colocado más de 3,8 millones de plásticos en una tienda del rubro y ya están a la venta más de 2,6 millones.
No todas las tiendas de tarjetas que existen actualmente pueden proporcionar tal cantidad de datos comprometidos.
Una oferta tan generosa puede indicar que “All World Cards” entró en este negocio con seriedad y durante mucho tiempo.
Es probable que esta no sea la última vez que nos enteramos de esta tienda de tarjetas.
Por Marcelo Lozano – General Publisher IT Connect Latam
Lea más
TheHive Reloaded: 4.1.0 ya está disponible
Mercado Financiero Global: Big Picture, con 1000 aristas
Pablo Lopez Kazelian: los secretos hackers 2021 no revelados
DLP: No todos los sistemas son útiles en la nueva realidad 2021