暗网市场“2easy”正在成为地下被盗数据的主要参与者

一个名为“2easy”的暗网市场正在成为销售从大约60万台感染了“信息窃取”恶意软件的设备中收集的被盗数据“日志”的重要参与者。

“日志”是从受感染的Web浏览器或存在恶意软件的系统窃取的数据档案，其中最重要的方面是它们通常包括帐户凭据、cookie和保存的信用卡信息。

2easy于2018年推出，自去年以来经历了快速增长，当时它仅销售来自2.8万台受感染设备的数据，被认为只是小角色，但是一年间就从2.8万台感染设备快速增长到60万台。

根据以色列暗网情报公司KELA研究人员的分析，突然的增长归功于市场平台的发展和稳定的产品质量，这些产品在网络犯罪界获得了好评。

廉价而有效的日志

该市场是完全自动化的，这意味着如果有需求的人，可以自己创建一个帐户，将钱添加到他们的钱包中，并在不直接与卖家互动的情况下进行购买。

这些日志的购买价格低至每件5美元，大约比Genesis平均价格低5倍，比俄罗斯市场上机器日志的平均成本低3倍。

此外，根据来自多个暗网论坛的参与者反馈分析，2easy日志始终如一地提供有效凭据，为许多组织提供网络访问权限。

除了成本和有效性之外，2easy的图形用户界面同时也很友好和强大，使行为者能够在网站上执行以下功能：

查看受感染机器登录的所有URL
搜索感兴趣的URL
浏览受感染机器的列表，从这些机器中窃取了所述网站的凭据
查看卖家的评分
查看卖家分配的标签，大多数时候包括机器被感染的日期，有时还包括卖家的附加说明
获取选定目标的凭据

与其他平台相比，唯一的缺点是2easy不会向潜在买家提供已售商品的预览，例如数据被盗的设备的经编辑的IP地址或操作系统版本。

RedLine恶意软件

在2easy上购买的每件商品都包含一个存档文件，其中包含来自所选机器的被盗日志。

内容类型取决于用于工作的信息窃取恶意软件及其功能，因为每个木马都有不同的关注点。

然而，在50%的案例中，卖家使用RedLine作为他们选择的恶意软件，它可以窃取密码、cookie、存储在Web浏览器中的信用卡、FTP凭据等。

在2easy上活跃的18名卖家中，有5名专门使用RedLine，而另外4名将其与Raccoon Stealer、Vidar和AZORult等其他恶意软件结合使用。

为什么这很重要

包含凭据的日志本质上是打开大门的钥匙，无论这些大门通向您的在线帐户、财务信息，还是通往公司网络的入口。

威胁行为者以每条低至5美元的价格出售这些信息，但对受感染实体造成的损害可能以数百万计。

KELA的报告解释说：“通过2021年6月披露的对电子游戏公司EA的攻击，可以观察到这样一个例子。”

“据报道，这次攻击始于黑客以10美元的价格购买了在线销售的被盗cookie，然后黑客继续使用这些凭据访问EA使用的Slack频道。”

“一旦进入Slack频道，这些黑客就成功地诱骗了EA的一名员工提供了多因素身份验证令牌，这使他们能够窃取EA游戏的多个源代码。”

最初的访问代理市场正在上升，并且与灾难性的勒索软件感染直接相关，而像2easy这样的日志市场是同一生态系统的一部分。

数以百万计的帐户凭据可供在暗网上购买，因此需要采取适当的安全措施来保护账户。

这些安全措施有：多因素认证，经常更换密码，以及对所有用户应用最小特权原则等等。