黑客攻击的三个顶级俄罗斯网络犯罪论坛

2021-03-07 09:33:13

在过去的几周里,有三个跑步和最贪婪的俄语在线论坛,服务于数千名经验丰富的网络犯罪分子。在两个入侵中,攻击者与论坛的用户数据库删除,包括电子邮件和互联网地址和哈希密码。所有三个论坛的成员都担心事件可以作为一个虚拟Rosetta Stone,用于在多个犯罪论坛上连接同一用户的现实生活身份。

周二,有人倾倒了数千名用户名,电子邮件地址和黑暗网上的混淆密码显然是从Mazafaka(又名“Maza,”Mfclub“)的窃款,这是一个拥有超过十年的独家犯罪论坛,这些论坛将主持人占据了一些最有经验和臭名昭着的俄罗斯网络塞子。

在线35页的PDF泄露在线是据称Maza管理员使用的私有加密密钥。数据库还包括许多用户的ICQ号码。 ICQ,也被称为“我寻求你”,是这一旧犯罪论坛的无数岁德国信托的即时留言平台,在它使用之前,它落入了更多的私人网络,例如jabber和电报。

这是值得注意的,因为与特定账户相关的ICQ号码通常是一个可靠的数据点,即安全研究人员可以使用跨越多个论坛和不同昵称的同一用户在同一用户中连接多个帐户。

“该文件包含超过3,000行,包含用户名,部分混淆的密码哈希,电子邮件地址和其他联系方式”,“Intel 471发现,注意到Maza论坛访问者现在被重定向到违规公告页面。 “对泄露的数据的初始分析指向其可能的真实性,作为泄漏的用户记录的至少一部分与我们自己的数据保持相关。”

在另一个主要的俄罗斯犯罪论坛被掠夺之后,对马萨的袭击是几周的。 1月20日,俄语论坛的长期管理员已核实披露社区的域名注册商已被黑客攻击,并且该站点的域被重定向到攻击者控制的Internet服务器。

“我们的[比特币]钱包已经破裂了。幸运的是,我们没有在它中保持大量,但无论如何,这是一种令人难以愉快的事件。一旦情况清晰,管理员就会假定理论上,所有论坛的账户都可能会受到损害(概率低,但它在那里)。在我们的业务中,最好玩安全。因此,我们决定重置每个人的代码。这不是一个大问题。只需将它们写下来并从现在开始使用它们。“

“当论坛被黑客攻击后,我们正在获取论坛的数据库毕竟是截至的邮件。强制重置每个人的帐户密码。将此信息传递给您了解的人。该论坛通过域名注册商被攻击。首先被攻击的注册商,然后更改了域名服务器,交通迅速。“

2月15日,署长发布了一条据称代表入侵者发出的信息,他声称他们在1月16日和20日之间被攻击了核实的域名注册场。

“现在应该清楚的是,论坛管理局没有通过这整件的安全性没有接受的工作,”袭击者解释说。 “最有可能只是出于懒惰或无能,他们放弃了整个事情。但是,我们的主要惊喜是他们保存了所有用户数据,包括Cookie,Referrers,第一个注册的IP地址,登录分析和其他一切。“

其他消息来源指出已验证用户之间的数万条私信被盗,包括有关比特币存款和提款和私人jabber联系人的信息。

MAZA和验证的妥协 - 以及可能是第三个主要论坛 - 有许多社区成员担心他们的现实生活可以曝光。爆炸 - 也许是下一场最多,最受欢迎的俄罗斯论坛经过验证后,也经历了本周明显的妥协。

根据英特尔471,在2021年3月1日,漏洞利用网络犯罪论坛的管理员声称,用于保护分布式拒绝服务(DDOS)攻击的论坛可能因未知方而受到损害的代理服务器。管理员表示,在2月27日,2021年2月27日,监控系统检测到对服务器的未经授权的安全shell访问,并尝试转储网络流量。

一些论坛潜伏者推测,这些近期妥协感觉就像一些政府间谍机构的工作。

“只有智力服务或者知道服务器所在位置的人可以脱掉这样的东西,”乐于爆炸的一个主干。 “一个月的三个论坛只是奇​​怪。我认为那些是普通黑客。有人有目的地破坏了论坛。“

其他人想知道哪个论坛将下次跌倒,并讨论对企业不利的用户之间的信任丧失。

“也许他们根据以下逻辑工作,”写了一个漏洞资料。 “将没有论坛,每个人之间都不会相信,合作不那么难以找到合作伙伴 - 袭击较少。”

更新,3月4日,6:58下午6:58。 et:英特尔471表示,有一个最近受到袭击的第四个犯罪论坛。从他们刚刚发表的博客帖子,他们刚刚发表了这些活动:“2月,另一个受欢迎的网络犯罪论坛Crdclub的管理员宣布,论坛持续了导致管理员账户妥协的攻击。通过这样做,攻击背后的演员能够引诱论坛客户使用据称由论坛管理员致力于担保的汇款服务。这是一个谎言,导致了从论坛转移的未知金额。论坛的管理员承诺偿还那些被欺骗的人。没有其他信息看起来在攻击中受到损害。“