CarderPlanet
Professional
Основные выводы
Фон
Компании и организации используют системы управления контентом (CMS) и панели управления веб-хостингом, чтобы упростить управление веб-сайтами и предоставить посетителям улучшенные функции. Панели управления CMS позволяют менеджерам контента управлять сайтом на уровне веб-приложения, например, добавляя расширение корзины покупок для функций электронной коммерции. Панели управления веб-хостингом - это интерфейсы, которые позволяют администраторам управлять своими веб-серверами и размещенными службами.
По сути, доступ к панели управления CMS сайта позволяет киберпреступникам вводить цифровые скиммеры, потенциально получать доступ к данным платежных карт из предыдущих сохраненных транзакций и получать доступ к информации учетной записи пользователя CMS, тогда как доступ к панелям управления веб-хостингом позволяет киберпреступникам выполнять вышеупомянутые действия и потенциально выполнять более агрессивные действия, такие как установка вредоносных программ или троянов удаленного доступа (RAT). Установка RAT может позволить злоумышленнику сохранить доступ к серверу даже в случае изменения учетных данных для входа. Кроме того, вредоносное ПО, установленное с правами администратора, может выполнять любое количество гнусных действий.
Администраторы сайта получают доступ к своей CMS через панель управления и используют панели управления веб-хостингом для доступа к базовому серверу, как через учетные данные администратора для соответствующей платформы. Следовательно, если киберпреступники могут получить один или оба этих набора учетных данных, они могут просматривать, извлекать и манипулировать любыми данными, доступ к которым разрешен скомпрометированной учетной записи. Учитывая, что многие люди используют одно и то же имя пользователя и пароль для нескольких систем, киберпреступники могут получить доступ к обеим панелям путем обнаружения единого набора учетных данных. На практике киберпреступники в основном используют эти типы доступа для четырех целей:
Как работает HackMachine
По словам актера, стоящего за HackMachine, программное обеспечение изначально было написано для частного клиента, но затем актер решил предложить программное обеспечение как коммерческий продукт. Программное обеспечение предоставляет злоумышленникам простой в использовании и автоматизированный метод получения доступа к веб-приложениям и серверам. Злоумышленники могут загружать в программное обеспечение целевые домены-жертвы, после чего программное обеспечение сканирует сайты на предмет известных уязвимостей, собирает учетные данные администратора и пользователя с помощью нескольких типов атак грубой силы и проверяет действительность учетных данных.
В дополнение к сбору учетных данных для входа в систему HackMachine включает функцию для выполнения SQL-инъекций, типа атаки, которая использует специализированные запросы для получения данных из базы данных за пределами ее обычного использования. Этот тип атаки обычно отправляет запросы обработчикам веб-форм на сервере и использует уязвимости в том, как сайт проверяет запросы данных, перенаправляемые в базу данных. В некоторых случаях SQL-инъекция может привести к тому, что злоумышленнику будет предоставлена обратная оболочка (командная строка). В случае успеха злоумышленник сможет выполнять сценарии на сервере сайта с уровнем привилегий учетной записи службы базы данных. В зависимости от уровня привилегий учетной записи службы SQL.
Актер, стоящий за HackMachine, указал в своих сообщениях, что HackMachine может получить доступ к сайтам, использующим CMS WordPress, DataLife Engine, Joomla и Drupal, а также к тем, которые используют серверы протокола передачи файлов (FTP).
Изображение 1: Интерфейс HackMachine v1.3.
Первоначально выпущенный на форуме Exploit в октябре 2019 года, автор HackMachine постоянно предоставлял обновления для HackMachine и выпускал три дополнительных приложения: «All Checker WordPress», «All Checker WHM / CPanel» и «Exploiter». Три дополнительных приложения предоставляют злоумышленникам дополнительные функции, предназначенные для расширения масштабов и эффективности их атак. Все четыре приложения имеют англоязычный интерфейс и включают поддержку и документацию на английском и русском языках. HackMachine стоит 300 долларов, Exploiter - 200 долларов, а All Checker WordPress и All Checker WHM / CPanel стоят по 100 долларов каждый.
Все проверки WordPress
All Checker WordPress позволяет злоумышленникам фильтровать результаты по ключевым словам. На практике это означает, что злоумышленники могут фильтровать только административные учетные записи сайтов, на которых установлен плагин WooCommerce, что указывает на то, что сайт является интернет-магазином. Приложение также может определять типы учетных записей, устанавливать дополнительные плагины и генерировать статистику по количеству публикаций и заказов, сделанных на сайте, а также по обороту товаров и клиентов. Чаще всего этот инструмент используется для заражения Magecart.
Все Checker WHM / CPanel
All Checker WHM / CPanel - это утилита, которая проверяет действительность учетных данных для входа на основе данных, полученных от HackMachine, а также ищет и извлекает домены в cPanel, а также в учетных записях Web Hosting Manager (WHM). Для сайтов, на которых сервер администрируется через cPanel или WHM, учетные данные на этом уровне предоставят злоумышленнику полные административные разрешения для сервера, включая конфигурацию сети, управление файловой системой, управление базой данных, управление пользователями, автозапуск приложений и т. д. В связи с тем, что панели управления WHM и cPanel предоставляют хакерам широкий доступ к веб-инфраструктуре жертвы, этот инструмент может включать заражение Magecart, эксфильтрацию базы данных и действия, связанные с программами-вымогателями.
Использовать
В январе 2021 года исполнитель HackMachine создал пост, в котором указал, что разделит возможности HackMachine и создаст еще один отдельный инструмент под названием Exploiter. Exploiter - это мощная утилита для массовой обработки доменов, которая позволяет злоумышленникам:
Криминальные примеры использования HackMachine
Как отмечалось выше, HackMachine выявляет уязвимости на веб-сайтах и использует эти уязвимости для получения учетных данных для входа на CMS сайта, панели WHM и панели управления cPanel. После того, как хакер получил доступ к уязвимому сайту с помощью этих учетных данных, он может использовать доступ для совершения преступной деятельности, связанной с мошенничеством с картами, а в некоторых случаях расширять доступ для проведения атак программ-вымогателей. Что касается мошенничества с картами, два основных варианта использования HackMachine - это заражение Magecart, которое относится к внедрению цифровых скиммеров платежных карт, и «дамп» базы данных платежных карт, которые относятся к извлечению данных платежных карт и PII из предыдущих транзакций, которые были сайт электронной коммерции хранится на своем сайте.
Инфекции Magecart
Мошенничество с картами все чаще переходит от транзакций с предъявлением карты (CP или «лично») к транзакциям без предъявления карты (CNP или «онлайн»), а пандемия COVID-19 и соответствующие карантинные ограничения еще больше ускорили этот переход. Значительная часть платежных карт, скомпрометированных посредством транзакций CNP, происходит от атак цифрового скимминга Magecart, в ходе которых хакеры вводят вредоносный код в сайты электронной коммерции для кражи данных платежных карт у клиентов сайтов. Затем эти данные отправляются в собственную инфраструктуру хакера и продаются в темной сети. Согласно данным Gemini по обнаружению мошенничества с картами, средний период заражения для пострадавших сайтов электронной коммерции в США составляет 183 дня, что дает киберпреступникам достаточно времени для взлома больших объемов платежных карт.
Изображение 2: Поскольку карантинные ограничения COVID-19 ограничивают личные транзакции, мошенники все чаще обращают внимание на транзакции CNP.
HackMachine напрямую способствует распространению инфекций Magecart, передавая киберпреступникам ключи от сайта электронной коммерции: учетные данные для входа в CMS и панели управления веб-хостингом. Имея доступ к инструментам управления веб-сайтом, киберпреступники могут внедрять вредоносные сценарии непосредственно на сайт или на его веб-серверы. С помощью множества различных методов эти скрипты развертывают и запускают скиммеры цифровых платежных карт для компрометации данных платежных карт и PII клиентов. Важно отметить, что доступ киберпреступников к этим инструментам управления веб-сайтами напрямую не означает успешное заражение Magecart, поскольку на сайтах электронной коммерции могут быть приняты меры безопасности для отслеживания и смягчения подозрительной активности. Тем не менее, Gemini Advisory выявила более 7500 сайтов электронной коммерции с заражениями Magecart за последний год.
Кроме того, с помощью мониторинга темной сети аналитики Gemini выявили нескольких злоумышленников, которые указали, что приобрели HackMachine, а затем продали доступ к взломанным сайтам электронной коммерции на форумах темной сети. В сообщениях на форуме, рекламирующих продажи, участники не указывали конкретно своих жертв, но обычно отмечали несколько факторов, способствующих потенциальной криминальной прибыльности пострадавшего сайта электронной коммерции, таких как страна жертвы, объем транзакций и страница оформления заказа. способ оплаты. Цена доступа к одному сайту варьировалась от нескольких сотен до нескольких тысяч долларов.
Кроме того, доступ к веб-серверу сайта или панели управления CMS может позволить злоумышленникам использовать взломанный сервер в качестве хранилища файлов для скриптов скиммера платежных карт Magecart. С помощью этой тактики субъекты внедряют ссылку на скрипт на другой взломанный сайт электронной коммерции, так что, когда браузер клиента открывает зараженную страницу, браузер загружает скиммер из ссылки и выполняет ее. В качестве альтернативы злоумышленники могут использовать скомпрометированный веб-сервер в качестве места назначения для отфильтрованных данных платежных карт, снятых с других сайтов. В более широком смысле субъекты могут также использовать серверы в качестве командно-управляющих (C2) серверов для ботнетов, различных типов распространения вредоносных программ и других целей.
База данных «Дампы»
Сайты электронной коммерции часто предпочитают хранить данные платежных карт и PII из предыдущих транзакций на своих веб-серверах в маркетинговых целях. Однако, имея доступ к веб-серверам сайтов электронной коммерции через HackMachine, киберпреступники могут извлекать данные с веб-серверов, а затем продавать их на торговых площадках темной сети. Важно отметить, что Стандарт безопасности данных индустрии платежных карт, который помогает в борьбе с мошенничеством, устанавливая стандарты для типов данных карт, которые разрешено хранить продавцам, запрещает сайтам электронной коммерции хранить данные CVV клиентов. В результате данные платежных карт, скомпрометированные с помощью этого метода атаки, обычно не включают данные CVV, что ограничивает возможности киберпреступников по монетизации украденных записей и снижает стоимость записей в темной сети.
Gemini недавно сообщила о взломе Cardpool, ныне закрытого рынка подарочных карт, где люди могли продавать ненужные подарочные карты в магазин, а другие могли их покупать. Хотя нет никаких доказательств того, что злоумышленники, стоящие за взломом, использовали HackMachine, доказательства взлома убедительно указывают на то, что злоумышленники взломали 330 000 платежных карт, получив доступ к базе данных сайта, демонстрируя угрозу, создаваемую этим методом атаки. В более широком смысле, участники даркнета регулярно продают большие наборы скомпрометированных платежных карт CNP на форумах темного Интернета, которые не содержат данных CVV, что является убедительным показателем для записей CNP о том, что записи возникли в результате взлома базы данных платежных карт сайта электронной коммерции.
В более широком смысле, источники Gemini также наблюдали субъектов, которые решительно указали, что приобрели HackMachine, а затем приступили к продаже доступа к базам данных различных компаний. В зависимости от компании эти базы данных могут содержать широкий спектр конфиденциальных данных, включая:
Кроме того, доступ к веб-серверу компании может открыть доступ к областям файловой системы, содержащим конфиденциальную документацию, например:
Программы-вымогатели
Атаки программ-вымогателей на корпорации и государственные органы продолжают мешать бизнесу и угрожать национальной безопасности во всем мире. Злоумышленники достигают этих сбоев, получая доступ к сетям и системам жертв, шифруя данные и в некоторых случаях угрожая публично опубликовать данные жертвы, если они не заплатят выкуп. Злоумышленники получают первоначальный доступ к сети жертвы различными способами, чаще всего с помощью фишинговых писем, отправляемых сотрудникам компании и содержащих ссылку или вложение, зараженное вредоносным ПО. Оттуда акторы создают бэкдор в сети, усиливают свое присутствие и, в конечном итоге, шифруют данные жертвы и запрашивают выкуп.
На основании того, как продается HackMachine, и анализа участников, которые указали, что приобрели HackMachine и приступили к продаже доступа к административным панелям в темной сети, большинство хакеров, скорее всего, используют HackMachine для преступной деятельности, связанной с мошенничеством с картами, а не для атак программ-вымогателей. Основная причина заключается в том, что для большинства крупных прибыльных целей злоумышленнику будет сложно превратить доступ к веб-серверу или панели администратора в доступ к более крупной корпоративной сети.
Тем не менее, Gemini определила участника дарквеба, который решительно указал, что приобрел HackMachine, а затем продолжил создавать сообщения на форуме темного интернета, ища пентестеров и сетевых специалистов, чтобы присоединиться к их команде и узнать о деталях нескольких инструментов, используемых для получения удаленного доступа к системам жертвы. В то время как субъект явно не заявлял о своей причастности к атакам программ-вымогателей, субъект, планирующий осуществить атаки программ-вымогателей, будет искать именно таких специалистов и инструменты.
Основным вариантом использования HackMachine в атаках программ-вымогателей является дополнение начального этапа получения доступа к сети жертвы. Имея доступ к веб-серверу компании, хакеры могли загружать на сервер файл, зараженный вредоносным ПО, в надежде, что сотрудник загрузит файл на устройство в более крупной корпоративной сети. Оттуда хакеры могли продолжить свой обычный рабочий процесс.
В качестве альтернативы хакеры могут собирать информацию о компании-жертве и ее сотрудниках с веб-сервера, а затем создавать специальные фишинговые электронные письма, которые сотрудники с большей вероятностью откроют. В этом контексте участники темных веб-форумов регулярно предлагают доступ компаниям, таким как юридические фирмы или ИТ-компании, которые являются клиентами более крупных прибыльных целей. Эти типы доступа могут быть получены с помощью HackMachine или аналогичных инструментов, и хакеры могут использовать информацию, хранящуюся на веб-серверах этих компаний, для распространения очень надежных фишинговых писем, зараженных вредоносным ПО.
Смягчение
С технической точки зрения HackMachine - это относительно простой инструмент, который предоставляет хакерам доступ к веб-приложениям и серверам, используя известные уязвимости на веб-сайтах и подбирая простые пароли. Таким образом, предприятия и организации могут в значительной степени снизить риски, связанные с HackMachine, следуя передовым методам веб-безопасности и предотвращения мошенничества. Ниже перечислены некоторые из простых передовых методов, которые следует использовать администраторам сайта:
Заключение
По своей сути HackMachine - это простой, но относительно профессиональный инструмент для получения удаленного доступа к CMS веб-страниц и баз данных. В зависимости от жертвы киберпреступники могут использовать доступ, полученный с помощью HackMachine, для выполнения действий, связанных с мошенничеством с картами, таких как введение скиммеров платежей и извлечение сохраненных данных платежных карт и PII, или для повышения своих привилегий для выполнения более сложных схем, таких как атаки программ-вымогателей. Хотя эти типы преступной деятельности требуют разного уровня технических знаний, такие инструменты, как HackMachine, упрощают процесс и увеличивают пул потенциальных злоумышленников. Кроме того, как показывает связь между несколькими участниками и HackMachine, эти инструменты напрямую позволяют киберпреступникам получать несанкционированный доступ к сайтам и веб-базам данных, которые они впоследствии могут монетизировать на форумах темной сети.
- Программа для киберпреступников HackMachine предоставляет злоумышленникам простой в использовании и автоматизированный метод получения доступа к веб-приложениям. Злоумышленники могут загружать в программное обеспечение целевые домены-жертвы, после чего программное обеспечение сканирует сайты на предмет известных уязвимостей, собирает учетные данные администратора и пользователя с помощью нескольких типов атак грубой силы и проверяет действительность учетных данных.
- Хакеры могут использовать доступ, полученный через HackMachine, для внедрения цифровых платежных скиммеров, кражи сохраненных данных платежных карт из предыдущих транзакций, а также для эксфильтрации пользовательских баз данных и личной информации (PII). Типы доступа, полученные с помощью HackMachine, также могут использоваться для дополнения атак программ-вымогателей.
- HackMachine использует сайты со слабой защитой, чтобы получить доступ к административным панелям; Таким образом, предприятия могут снизить угрозу, создаваемую программным обеспечением, следуя лучшим практикам обеспечения безопасности в Интернете.
- Gemini определила актеров, которые купили и хвалили HackMachine, а затем приступили к продаже доступа, который, вероятно, был получен через HackMachine. Это указывает на то, что программное обеспечение представляет собой текущую угрозу для держателей карт, финансовых учреждений и продавцов из-за приложений для мошенничества с картами, а также угрозу для компаний и организаций из-за приложений-вымогателей.
Фон
Компании и организации используют системы управления контентом (CMS) и панели управления веб-хостингом, чтобы упростить управление веб-сайтами и предоставить посетителям улучшенные функции. Панели управления CMS позволяют менеджерам контента управлять сайтом на уровне веб-приложения, например, добавляя расширение корзины покупок для функций электронной коммерции. Панели управления веб-хостингом - это интерфейсы, которые позволяют администраторам управлять своими веб-серверами и размещенными службами.
По сути, доступ к панели управления CMS сайта позволяет киберпреступникам вводить цифровые скиммеры, потенциально получать доступ к данным платежных карт из предыдущих сохраненных транзакций и получать доступ к информации учетной записи пользователя CMS, тогда как доступ к панелям управления веб-хостингом позволяет киберпреступникам выполнять вышеупомянутые действия и потенциально выполнять более агрессивные действия, такие как установка вредоносных программ или троянов удаленного доступа (RAT). Установка RAT может позволить злоумышленнику сохранить доступ к серверу даже в случае изменения учетных данных для входа. Кроме того, вредоносное ПО, установленное с правами администратора, может выполнять любое количество гнусных действий.
Администраторы сайта получают доступ к своей CMS через панель управления и используют панели управления веб-хостингом для доступа к базовому серверу, как через учетные данные администратора для соответствующей платформы. Следовательно, если киберпреступники могут получить один или оба этих набора учетных данных, они могут просматривать, извлекать и манипулировать любыми данными, доступ к которым разрешен скомпрометированной учетной записи. Учитывая, что многие люди используют одно и то же имя пользователя и пароль для нескольких систем, киберпреступники могут получить доступ к обеим панелям путем обнаружения единого набора учетных данных. На практике киберпреступники в основном используют эти типы доступа для четырех целей:
- Инфекции Magecart: внедрение скиммеров платежных карт в сайты электронной коммерции
- «Свалки» базы данных: извлечение конфиденциальных данных, которые хранились на веб-сервере и базах данных сайта, включая данные платежных карт из предыдущих транзакций, личную информацию пользователей (PII) и учетные данные администраторов.
- Атаки программ-вымогателей: использование доступа к этим административным панелям для получения доступа к более крупной сети жертвы.
- Серверные бот-сети: используя доступ к этим административным панелям, субъекты могут устанавливать сценарии, выполняющие распределенные атаки типа «отказ в обслуживании» (DDoS).
Как работает HackMachine
По словам актера, стоящего за HackMachine, программное обеспечение изначально было написано для частного клиента, но затем актер решил предложить программное обеспечение как коммерческий продукт. Программное обеспечение предоставляет злоумышленникам простой в использовании и автоматизированный метод получения доступа к веб-приложениям и серверам. Злоумышленники могут загружать в программное обеспечение целевые домены-жертвы, после чего программное обеспечение сканирует сайты на предмет известных уязвимостей, собирает учетные данные администратора и пользователя с помощью нескольких типов атак грубой силы и проверяет действительность учетных данных.
В дополнение к сбору учетных данных для входа в систему HackMachine включает функцию для выполнения SQL-инъекций, типа атаки, которая использует специализированные запросы для получения данных из базы данных за пределами ее обычного использования. Этот тип атаки обычно отправляет запросы обработчикам веб-форм на сервере и использует уязвимости в том, как сайт проверяет запросы данных, перенаправляемые в базу данных. В некоторых случаях SQL-инъекция может привести к тому, что злоумышленнику будет предоставлена обратная оболочка (командная строка). В случае успеха злоумышленник сможет выполнять сценарии на сервере сайта с уровнем привилегий учетной записи службы базы данных. В зависимости от уровня привилегий учетной записи службы SQL.
Актер, стоящий за HackMachine, указал в своих сообщениях, что HackMachine может получить доступ к сайтам, использующим CMS WordPress, DataLife Engine, Joomla и Drupal, а также к тем, которые используют серверы протокола передачи файлов (FTP).
Изображение 1: Интерфейс HackMachine v1.3.
Первоначально выпущенный на форуме Exploit в октябре 2019 года, автор HackMachine постоянно предоставлял обновления для HackMachine и выпускал три дополнительных приложения: «All Checker WordPress», «All Checker WHM / CPanel» и «Exploiter». Три дополнительных приложения предоставляют злоумышленникам дополнительные функции, предназначенные для расширения масштабов и эффективности их атак. Все четыре приложения имеют англоязычный интерфейс и включают поддержку и документацию на английском и русском языках. HackMachine стоит 300 долларов, Exploiter - 200 долларов, а All Checker WordPress и All Checker WHM / CPanel стоят по 100 долларов каждый.
Все проверки WordPress
All Checker WordPress позволяет злоумышленникам фильтровать результаты по ключевым словам. На практике это означает, что злоумышленники могут фильтровать только административные учетные записи сайтов, на которых установлен плагин WooCommerce, что указывает на то, что сайт является интернет-магазином. Приложение также может определять типы учетных записей, устанавливать дополнительные плагины и генерировать статистику по количеству публикаций и заказов, сделанных на сайте, а также по обороту товаров и клиентов. Чаще всего этот инструмент используется для заражения Magecart.
Все Checker WHM / CPanel
All Checker WHM / CPanel - это утилита, которая проверяет действительность учетных данных для входа на основе данных, полученных от HackMachine, а также ищет и извлекает домены в cPanel, а также в учетных записях Web Hosting Manager (WHM). Для сайтов, на которых сервер администрируется через cPanel или WHM, учетные данные на этом уровне предоставят злоумышленнику полные административные разрешения для сервера, включая конфигурацию сети, управление файловой системой, управление базой данных, управление пользователями, автозапуск приложений и т. д. В связи с тем, что панели управления WHM и cPanel предоставляют хакерам широкий доступ к веб-инфраструктуре жертвы, этот инструмент может включать заражение Magecart, эксфильтрацию базы данных и действия, связанные с программами-вымогателями.
Использовать
В январе 2021 года исполнитель HackMachine создал пост, в котором указал, что разделит возможности HackMachine и создаст еще один отдельный инструмент под названием Exploiter. Exploiter - это мощная утилита для массовой обработки доменов, которая позволяет злоумышленникам:
- Сортировать базы данных
- Поиск админки и уязвимых сайтов
- Экстрактные магазины
- Найдите файлы и загрузите их
- Найдите оболочки и формы загрузки файлов
Криминальные примеры использования HackMachine
Как отмечалось выше, HackMachine выявляет уязвимости на веб-сайтах и использует эти уязвимости для получения учетных данных для входа на CMS сайта, панели WHM и панели управления cPanel. После того, как хакер получил доступ к уязвимому сайту с помощью этих учетных данных, он может использовать доступ для совершения преступной деятельности, связанной с мошенничеством с картами, а в некоторых случаях расширять доступ для проведения атак программ-вымогателей. Что касается мошенничества с картами, два основных варианта использования HackMachine - это заражение Magecart, которое относится к внедрению цифровых скиммеров платежных карт, и «дамп» базы данных платежных карт, которые относятся к извлечению данных платежных карт и PII из предыдущих транзакций, которые были сайт электронной коммерции хранится на своем сайте.
Инфекции Magecart
Мошенничество с картами все чаще переходит от транзакций с предъявлением карты (CP или «лично») к транзакциям без предъявления карты (CNP или «онлайн»), а пандемия COVID-19 и соответствующие карантинные ограничения еще больше ускорили этот переход. Значительная часть платежных карт, скомпрометированных посредством транзакций CNP, происходит от атак цифрового скимминга Magecart, в ходе которых хакеры вводят вредоносный код в сайты электронной коммерции для кражи данных платежных карт у клиентов сайтов. Затем эти данные отправляются в собственную инфраструктуру хакера и продаются в темной сети. Согласно данным Gemini по обнаружению мошенничества с картами, средний период заражения для пострадавших сайтов электронной коммерции в США составляет 183 дня, что дает киберпреступникам достаточно времени для взлома больших объемов платежных карт.
Изображение 2: Поскольку карантинные ограничения COVID-19 ограничивают личные транзакции, мошенники все чаще обращают внимание на транзакции CNP.
HackMachine напрямую способствует распространению инфекций Magecart, передавая киберпреступникам ключи от сайта электронной коммерции: учетные данные для входа в CMS и панели управления веб-хостингом. Имея доступ к инструментам управления веб-сайтом, киберпреступники могут внедрять вредоносные сценарии непосредственно на сайт или на его веб-серверы. С помощью множества различных методов эти скрипты развертывают и запускают скиммеры цифровых платежных карт для компрометации данных платежных карт и PII клиентов. Важно отметить, что доступ киберпреступников к этим инструментам управления веб-сайтами напрямую не означает успешное заражение Magecart, поскольку на сайтах электронной коммерции могут быть приняты меры безопасности для отслеживания и смягчения подозрительной активности. Тем не менее, Gemini Advisory выявила более 7500 сайтов электронной коммерции с заражениями Magecart за последний год.
Кроме того, с помощью мониторинга темной сети аналитики Gemini выявили нескольких злоумышленников, которые указали, что приобрели HackMachine, а затем продали доступ к взломанным сайтам электронной коммерции на форумах темной сети. В сообщениях на форуме, рекламирующих продажи, участники не указывали конкретно своих жертв, но обычно отмечали несколько факторов, способствующих потенциальной криминальной прибыльности пострадавшего сайта электронной коммерции, таких как страна жертвы, объем транзакций и страница оформления заказа. способ оплаты. Цена доступа к одному сайту варьировалась от нескольких сотен до нескольких тысяч долларов.
Кроме того, доступ к веб-серверу сайта или панели управления CMS может позволить злоумышленникам использовать взломанный сервер в качестве хранилища файлов для скриптов скиммера платежных карт Magecart. С помощью этой тактики субъекты внедряют ссылку на скрипт на другой взломанный сайт электронной коммерции, так что, когда браузер клиента открывает зараженную страницу, браузер загружает скиммер из ссылки и выполняет ее. В качестве альтернативы злоумышленники могут использовать скомпрометированный веб-сервер в качестве места назначения для отфильтрованных данных платежных карт, снятых с других сайтов. В более широком смысле субъекты могут также использовать серверы в качестве командно-управляющих (C2) серверов для ботнетов, различных типов распространения вредоносных программ и других целей.
База данных «Дампы»
Сайты электронной коммерции часто предпочитают хранить данные платежных карт и PII из предыдущих транзакций на своих веб-серверах в маркетинговых целях. Однако, имея доступ к веб-серверам сайтов электронной коммерции через HackMachine, киберпреступники могут извлекать данные с веб-серверов, а затем продавать их на торговых площадках темной сети. Важно отметить, что Стандарт безопасности данных индустрии платежных карт, который помогает в борьбе с мошенничеством, устанавливая стандарты для типов данных карт, которые разрешено хранить продавцам, запрещает сайтам электронной коммерции хранить данные CVV клиентов. В результате данные платежных карт, скомпрометированные с помощью этого метода атаки, обычно не включают данные CVV, что ограничивает возможности киберпреступников по монетизации украденных записей и снижает стоимость записей в темной сети.
Gemini недавно сообщила о взломе Cardpool, ныне закрытого рынка подарочных карт, где люди могли продавать ненужные подарочные карты в магазин, а другие могли их покупать. Хотя нет никаких доказательств того, что злоумышленники, стоящие за взломом, использовали HackMachine, доказательства взлома убедительно указывают на то, что злоумышленники взломали 330 000 платежных карт, получив доступ к базе данных сайта, демонстрируя угрозу, создаваемую этим методом атаки. В более широком смысле, участники даркнета регулярно продают большие наборы скомпрометированных платежных карт CNP на форумах темного Интернета, которые не содержат данных CVV, что является убедительным показателем для записей CNP о том, что записи возникли в результате взлома базы данных платежных карт сайта электронной коммерции.
В более широком смысле, источники Gemini также наблюдали субъектов, которые решительно указали, что приобрели HackMachine, а затем приступили к продаже доступа к базам данных различных компаний. В зависимости от компании эти базы данных могут содержать широкий спектр конфиденциальных данных, включая:
- Учетные данные сотрудника или клиента, которые компания решила хранить на сервере с выходом в Интернет (практики, которой следует избегать)
- Данные пользователя, включая PII клиента и клиента
Кроме того, доступ к веб-серверу компании может открыть доступ к областям файловой системы, содержащим конфиденциальную документацию, например:
- Финансовые документы компании-жертвы и клиентов, открывающие дверь для высокодоходного захвата бизнес-счетов
- Налоговые документы сотрудников, содержащие PII
- Конфиденциальная исследовательская и технологическая информация, позволяющая производить обратный инжиниринг продуктов или производство подделок.
- Конфиденциальная бизнес-информация, которая может быть использована для получения преимущества во время переговоров по контракту или, возможно, для шантажа представителей компании.
Программы-вымогатели
Атаки программ-вымогателей на корпорации и государственные органы продолжают мешать бизнесу и угрожать национальной безопасности во всем мире. Злоумышленники достигают этих сбоев, получая доступ к сетям и системам жертв, шифруя данные и в некоторых случаях угрожая публично опубликовать данные жертвы, если они не заплатят выкуп. Злоумышленники получают первоначальный доступ к сети жертвы различными способами, чаще всего с помощью фишинговых писем, отправляемых сотрудникам компании и содержащих ссылку или вложение, зараженное вредоносным ПО. Оттуда акторы создают бэкдор в сети, усиливают свое присутствие и, в конечном итоге, шифруют данные жертвы и запрашивают выкуп.
На основании того, как продается HackMachine, и анализа участников, которые указали, что приобрели HackMachine и приступили к продаже доступа к административным панелям в темной сети, большинство хакеров, скорее всего, используют HackMachine для преступной деятельности, связанной с мошенничеством с картами, а не для атак программ-вымогателей. Основная причина заключается в том, что для большинства крупных прибыльных целей злоумышленнику будет сложно превратить доступ к веб-серверу или панели администратора в доступ к более крупной корпоративной сети.
Тем не менее, Gemini определила участника дарквеба, который решительно указал, что приобрел HackMachine, а затем продолжил создавать сообщения на форуме темного интернета, ища пентестеров и сетевых специалистов, чтобы присоединиться к их команде и узнать о деталях нескольких инструментов, используемых для получения удаленного доступа к системам жертвы. В то время как субъект явно не заявлял о своей причастности к атакам программ-вымогателей, субъект, планирующий осуществить атаки программ-вымогателей, будет искать именно таких специалистов и инструменты.
Основным вариантом использования HackMachine в атаках программ-вымогателей является дополнение начального этапа получения доступа к сети жертвы. Имея доступ к веб-серверу компании, хакеры могли загружать на сервер файл, зараженный вредоносным ПО, в надежде, что сотрудник загрузит файл на устройство в более крупной корпоративной сети. Оттуда хакеры могли продолжить свой обычный рабочий процесс.
В качестве альтернативы хакеры могут собирать информацию о компании-жертве и ее сотрудниках с веб-сервера, а затем создавать специальные фишинговые электронные письма, которые сотрудники с большей вероятностью откроют. В этом контексте участники темных веб-форумов регулярно предлагают доступ компаниям, таким как юридические фирмы или ИТ-компании, которые являются клиентами более крупных прибыльных целей. Эти типы доступа могут быть получены с помощью HackMachine или аналогичных инструментов, и хакеры могут использовать информацию, хранящуюся на веб-серверах этих компаний, для распространения очень надежных фишинговых писем, зараженных вредоносным ПО.
Смягчение
С технической точки зрения HackMachine - это относительно простой инструмент, который предоставляет хакерам доступ к веб-приложениям и серверам, используя известные уязвимости на веб-сайтах и подбирая простые пароли. Таким образом, предприятия и организации могут в значительной степени снизить риски, связанные с HackMachine, следуя передовым методам веб-безопасности и предотвращения мошенничества. Ниже перечислены некоторые из простых передовых методов, которые следует использовать администраторам сайта:
- Убедитесь, что CMS и любые дополнительные плагины обновлены и исправлены.
- Отключить доступ к оболочке для панелей WHM и безопасных портов SSH
- Защитите учетные данные администратора:
- Используйте разные имена пользователей и пароли для панелей WHM, cPanel и CMS
- Используйте надежные пароли
- Включите многофакторную аутентификацию (MFA), где это возможно
- Отслеживайте вход в систему с помощью этих учетных данных в соответствии со временем входа в систему, исходным IP-адресом и действиями после аутентификации
- Мониторинг запущенных служб веб-сервера на предмет изменений или новых элементов
- Следите за файловой системой на предмет изменений в файлах или новых файлов
- Мониторинг сетевой активности:
- Подключения, инициированные сервером, следует оценивать, поскольку они не являются типичными.
- Попытки подключения с высокой частотой к страницам входа могут указывать на брутфорс, и их следует изучить.
- Необходимо пересмотреть объемы передачи данных по одиночным соединениям, превышающие обычные.
Заключение
По своей сути HackMachine - это простой, но относительно профессиональный инструмент для получения удаленного доступа к CMS веб-страниц и баз данных. В зависимости от жертвы киберпреступники могут использовать доступ, полученный с помощью HackMachine, для выполнения действий, связанных с мошенничеством с картами, таких как введение скиммеров платежей и извлечение сохраненных данных платежных карт и PII, или для повышения своих привилегий для выполнения более сложных схем, таких как атаки программ-вымогателей. Хотя эти типы преступной деятельности требуют разного уровня технических знаний, такие инструменты, как HackMachine, упрощают процесс и увеличивают пул потенциальных злоумышленников. Кроме того, как показывает связь между несколькими участниками и HackMachine, эти инструменты напрямую позволяют киберпреступникам получать несанкционированный доступ к сайтам и веб-базам данных, которые они впоследствии могут монетизировать на форумах темной сети.
