Zum Zeitpunkt der Abschaltung stellte Genesis Market 1,5 Millionen Bots bereit, die mehr als 2 Millionen Identitäten bereitstellten. Insgesamt bot die Plattform etwa 80 Millionen Zugangsdaten und digitale Fingerabdrücke, sagt die britische National Crime Agency.
Die Kriminellen, die diese speziellen Bots kauften, erhielten nicht nur gestohlene Daten, sondern auch die Mittel, sie zu verwenden. Die Käufer erhielten einen benutzerdefinierten Browser, der den ihres Opfers nachahmte. Dadurch konnten die Kriminellen ohne weiteres auf das Konto ihres Opfers zugreifen!
Um zu testen, ob eigene Daten dort gehandelt wurden, hat die niederländische Pozilei einen Link (Tool) veröffentlicht…
https://www.politie.nl/en/information/checkyourhack.html
UPDATE (14.04.2023):
Das US-Justizministerium hat vor wenigen Tagen eine Erklärung zu seiner Untersuchung des Genesis-Marktes veröffentlicht. In einer Pressekonferenz heute Morgen sagten Beamte des FBI und des Justizministeriums, dass die internationale Strafverfolgungsuntersuchung 14 Länder betraf und zu 400 Strafverfolgungsmaßnahmen führte, darunter 119 Verhaftungen und 208 Durchsuchungen und Befragungen weltweit. Das FBI bestätigte, dass einige amerikanische Verdächtige unter den Verhafteten sind, obwohl Beamte sich weigerten, weitere Einzelheiten zu den Verhaftungen mitzuteilen.
Das DOJ sagte, die Ermittler hätten auf die Benutzerdatenbank von Genesis Market zugreifen können und festgestellt, dass der Service nur auf Einladung mehr als 59.000 registrierte Benutzer habe. Die Datenbank enthielt die Kauf- und Aktivitätshistorie aller Benutzer, was ihnen laut FBI dabei half, die wahre Identität vieler Benutzer aufzudecken.
Ursprüngliche Geschichte: Aber Quellen, die der Untersuchung nahe stehen, teilen KrebsOnSecurity mit, dass Strafverfolgungsbehörden in den Vereinigten Staaten, Kanada und in ganz Europa derzeit Haftbefehle gegen Dutzende von Personen verhängen, von denen angenommen wird, dass sie Genesis unterstützen, entweder durch die Wartung der Website oder den Verkauf der Service-Bot-Protokolle von infizierte Systeme.
Der Beschlagnahmebescheid enthält die Siegel von Strafverfolgungsbehörden aus mehreren Ländern, darunter Australien, Kanada, Dänemark, Deutschland, die Niederlande, Spanien, Schweden und das Vereinigte Königreich.
Wenn Genesis-Kunden einen Bot kaufen, erwerben sie die Möglichkeit, alle Authentifizierungs-Cookies des Opfers in ihren Browser zu laden, sodass auf Online-Konten dieses Opfers ohne die Notwendigkeit eines Passworts und in einigen Fällen ohne Multi zugegriffen werden kann -Faktor-Authentifizierung.
„Sie können einen Bot mit echtem Fingerabdruck, Zugang zu E-Mail, sozialen Netzwerken, Bankkonten, Zahlungssystemen kaufen!“, schwärmte eine Anzeige für ein Cybercrime-Forum von Genesis. „Sie erhalten auch das gesamte frühere digitale Leben (Verlauf) des Bots – die meisten Dienste fragen nicht einmal nach Login und Passwort und identifizieren Sie als ihren wiederkehrenden Kunden. Durch den Kauf eines Bot-Kits mit Fingerabdruck, Cookies und Zugriffen werden Sie zum einzigartigen Benutzer aller seiner Dienste und anderer Websites. Die andere Verwendung unseres Kits echter Fingerabdrücke besteht darin, die Spuren Ihrer echten Internetaktivitäten zu vertuschen.“
Die Preise für Genesis-Bots waren ziemlich unterschiedlich, aber im Allgemeinen erzielten Bots mit großen Mengen an Passwörtern und Authentifizierungs-Cookies – oder solche mit Zugang zu bestimmten Finanz-Websites wie PayPal und Coinbase – tendenziell weitaus höhere Preise.
Das in New York ansässige Cyber-Intelligence-Unternehmen Flashpoint sagt, dass die teuersten Bots nicht nur eine große Anzahl von Ressourcen enthalten, sondern auch überwiegend Zugang zu Konten zu haben scheinen, die leicht zu monetarisieren sind.
„Die hohe Verbreitung von Google und Facebook ist zu erwarten, da es sich um so weit verbreitete Plattformen handelt“, stellte Flashpoint in einer Analyse von Genesis Market fest und stellte fest, dass alle zehn der zehn teuersten Bots damals Coinbase-Anmeldeinformationen enthielten.
Genesis Market hat im Laufe seiner Existenz eine Reihe von cyberkriminellen Innovationen eingeführt. Das wahrscheinlich beste Beispiel ist Genesis Security , ein benutzerdefiniertes Webbrowser-Plugin, das ein Genesis-Bot-Profil laden kann, sodass der Browser praktisch jeden wichtigen Aspekt des Geräts des Opfers nachahmt, von der Bildschirmgröße und der Aktualisierungsrate bis hin zur eindeutigen Zeichenfolge des Benutzeragenten, die mit dem des Opfers verbunden ist Webbrowser.
Flashpoint sagte, die Administratoren von Genesis Market behaupten, sie seien ein Team von Spezialisten mit „umfassender Erfahrung auf dem Gebiet der Systemmetriken“. Sie sagen, dass sie die Genesis Security-Software entwickelt haben, indem sie die wichtigsten 47 Browser-Fingerprinting- und Tracking-Systeme sowie die von 283 verschiedenen Bank- und Zahlungssystemen verwendeten analysiert haben.
Cybersicherheitsexperten sagen, dass Genesis und eine Handvoll anderer Bot-Shops auch bei Cyberkriminellen beliebt sind, die daran arbeiten, Bots in Unternehmensnetzwerken zu identifizieren und zu kaufen, und diesen Zugang dann umkehren und an Ransomware-Banden weiterverkaufen.
Michael Debolt , Chief Intelligence Officer von Intel 471, sagte, dass sogenannte „Network Access Brokers“ automatisierte Bot-Shops nach hochwertigen Zielen durchsuchen und sie dann für einen größeren Gewinn weiterverkaufen werden.
„Von ‚verwendeten‘ oder ‚verarbeiteten‘ Protokollen – es ist tatsächlich ziemlich üblich, dass dasselbe Protokoll von mehreren verschiedenen Akteuren verwendet wird, die es alle für unterschiedliche Zwecke verwenden – zum Beispiel sind einige Akteure nur an Krypto-Wallet oder Bankdaten interessiert Daher umgehen sie Anmeldeinformationen, an denen Netzwerkzugangsbroker interessiert sind“, sagte Debolt. „Diese Netzwerkzugangsmakler kaufen diese ‚gebrauchten‘ Protokolle sehr billig (oder manchmal kostenlos) und suchen von dort aus nach großen Fischzielen.“
Im Juni 2021 sagten Hacker, die in eine Fülle von Quellcode und Spieldaten des Computerspielgiganten EA eingebrochen waren und diese gestohlen hatten, gegenüber Motherboard , dass sie sich Zugang verschafft hätten, indem sie einen 10-Dollar-Bot von Genesis Market gekauft hätten, mit dem sie sich bei einem Slack-Konto des Unternehmens anmelden konnten.
Ein Merkmal von Genesis, das es von anderen Bot-Shops unterscheidet, besteht darin, dass Kunden den Zugriff auf infizierte Systeme in Echtzeit behalten können, sodass diese neuen Anmeldeinformationen gestohlen und angezeigt werden, wenn der rechtmäßige Eigentümer eines infizierten Systems online ein neues Konto erstellt im webbasierten Panel des Genesis-Kunden, der diesen Bot gekauft hat.
„Während einige Infostealer darauf ausgelegt sind, sich nach der Ausführung zu entfernen, schaffen andere einen dauerhaften Zugriff“, heißt es in einem Bericht des Cybersicherheitsunternehmens SpyCloud vom März 2023 . „Das bedeutet, dass Angreifer Zugriff auf die aktuellen Daten haben, solange das Gerät infiziert bleibt, selbst wenn der Benutzer Passwörter ändert.“
Laut SpyCloud wirbt Genesis sogar für sein Engagement, die gestohlenen Daten und die Fingerabdrücke der kompromittierten Systeme auf dem neuesten Stand zu halten.
„Laut unseren Recherchen bot Genesis Market Anfang letzten Jahres mehr als 430.000 gestohlene Identitäten zum Verkauf an – und es gibt viele andere Marktplätze wie diesen“, schließt der SpyCloud-Bericht.
Es scheint, dass die Aktion dieser Woche nur auf die klaren Webversionen von Genesis Market abzielte und dass der Laden immer noch unter einer dunklen Webadresse betrieben wird, die nur über das Tor-Netzwerk erreichbar ist . In der heutigen Pressekonferenz sagten Beamte des Justizministeriums, dass ihre Ermittlungen noch andauern und dass bereits ergriffene Maßnahmen es ihnen ermöglicht hätten, Genesis auf eine Weise zu stören, die möglicherweise nicht ohne weiteres ersichtlich ist.
In einem heutigen Blogbeitrag sagte die Sicherheitsfirma Trellix , sie sei von der niederländischen Polizei angesprochen worden, die Unterstützung bei der Analyse und Erkennung der mit Genesis Market verknüpften bösartigen Dateien suchte.
„Das Hauptziel war es, die Skripte und Binärdateien des Marktes unbrauchbar zu machen“, schrieben die Trellix-Forscher.
Wie im Trellix-Blog beschrieben, besteht ein Großteil dieser Bemühungen gegen Genesis Market darin, seine Lieferanten oder Cyberkriminelle ins Visier zu nehmen, die den Markt ständig mit frisch gestohlenen Bot-Daten füttern. Das Unternehmen sagt, dass Genesis mit mehreren Cyberkriminellen zusammengearbeitet hat, die für den Verkauf, die Verbreitung und Wartung verschiedener Arten von Infostealer-Malware verantwortlich sind, einschließlich Malware-Familien wie Raccoon Stealer .
„Im Laufe der Jahre hat Genesis Market mit einer Vielzahl von Malware-Familien zusammengearbeitet, um Opfer zu infizieren, wobei ihre Skripts zum Stehlen von Informationen verwendet wurden, um Informationen zu stehlen, die zum Füllen des Genesis Market Stores verwendet wurden“, fuhren die Trellix-Forscher fort. „Es überrascht nicht, dass die mit Genesis Market verknüpften Malware-Familien zu den üblichen Verdächtigen gängiger Info-Stealer wie AZORult, Raccoon, Redline und DanaBot gehören. Im Februar 2023 begann Genesis Market aktiv Verkäufer zu rekrutieren. Wir glauben mit einiger Zuversicht, dass dies getan wurde, um mit der wachsenden Nachfrage ihrer Benutzer Schritt zu halten.“
Wie wird der eigene Computer zum Bot in einem dieser Betrugsnetzwerke? Infostealer werden kontinuierlich über verschiedene Methoden massenhaft eingesetzt, einschließlich bösartiger Anhänge in E-Mails; Manipulation von Suchmaschinenergebnissen für beliebte Softwaretitel; und Malware, die heimlich an legitime Software angehängt ist, die über Software-Crack-Websites und Filesharing-Netzwerke zum Download zur Verfügung gestellt wird.
John Fokker , Head of Threat Intelligence bei Trellix, sagte gegenüber KrebsOnSecurity, dass die niederländische Polizei mehrere Personen aufgespürt habe, deren Daten auf Genesis Market zum Verkauf angeboten wurden, und herausgefunden habe, dass die Opfer Infostealer-Malware installiert hätten, die mit Raubkopien gebündelt sei.
Die niederländische Polizei hat eine Website eingerichtet , auf der Besucher überprüfen können, ob ihre Informationen Teil der gestohlenen Daten waren, die auf Genesis verkauft werden. Die Have I Been Pwned-Website von Troy Hunt bietet auch einen Suchdienst an, der auf Daten basiert, die vom FBI beschlagnahmt wurden.
Ruben van Well , Teamleiter der niederländischen Polizeieinheit für Cyberkriminalität in Rotterdam, sagte, dass mehr als 800.000 Besucher ihre Website bereits überprüft haben und dass mehr als 2.000 dieser Besucher auf aktive Infektionen mit Infostealer-Malware aufmerksam gemacht wurden.
Van Well sagte, die niederländischen Behörden hätten im Zusammenhang mit den Ermittlungen bisher mindestens 17 Festnahmen durchgeführt. Er fügte hinzu, dass die Cyberkriminellen, die Genesis Market betreiben, ihren Kunden zwar versprachen, dass die Sicherheit der Benutzerkonten eine hohe Priorität habe, der Dienst jedoch alle seine Daten im Klartext speicherte.
„Wenn Benutzer sagen würden, können Sie bitte mein Konto löschen, würden sie es tun, aber wir können immer noch in den Protokollen sehen, dass sie darum gebeten haben“, sagte van Well. „Genesis Market war nicht sehr gut darin, die Sicherheit seiner Benutzer zu schützen, was für sie ein Chaos angerichtet hat, aber für die Strafverfolgung war es großartig.“
Laut der niederländischen Polizei hat Microsoft heute Morgen ein Update für unterstützte Windows-Computer ausgeliefert, das Infektionen von Infostealer-Malware-Familien entfernen kann, die mit Genesis Market in Verbindung stehen.
Die niederländische Computersicherheitsfirma Computest arbeitete mit Trellix und der niederländischen Polizei zusammen, um die Malware Genesis Market zu analysieren. Ihr hochtechnischer Deep Dive ist hier verfügbar .
Dies ist eine sich entwickelnde Geschichte. Alle Aktualisierungen werden hier mit Hinweis und Zeitstempel hinzugefügt.