Now Reading
Wer ist welcher Network Access Broker „Babam“? – Krebs gut Sicherheit

Wer ist welcher Network Access Broker „Babam“? – Krebs gut Sicherheit

Wer ist der Network Access Broker „Babam“?  – Krebs über Sicherheit

Selten erhalten Cyberkriminelle, die Ransomware einsetzen, selbst den ersten Zugang zum Ziel. Häufiger wird dieser Zugriff von einem Cyberkriminellen-Broker erworben, welcher sich hinaus den Erwerb von Zugangsdaten zu Händen den Remote-Zugriff spezialisiert hat – wie Benutzernamen und Passwörter, die zu Händen die Remote-Vernetzung mit dem Netzwerk des Ziels gesucht werden. In diesem Mitgliedsbeitrag schauen wir uns die Hinweise an, die „Babam“, dasjenige wurde von einem Cyberkriminellen gewählt, welcher in den letzten Jahren im Rahmen vielen Gelegenheiten solche Zugriffe an Ransomware-Gruppen verkauft hat.

Seitdem Ursprung 2020 hat Babam zahlreiche Auktionen im russischsprachigen Cybercrime-Forum mit Möbeln ausgestattet Ausbeuten, hauptsächlich den Verkauf von Virtual Private Networking (VPN)-Anmeldeinformationen, die von verschiedenen Unternehmen gestohlen wurden. Babam hat seither seinem Eintritt im Rahmen Exploit im Jahr 2015 mehr qua 270 Beiträge verfasst, darunter Dutzende von Verkaufsthreads. Keiner von Babams Posts hinaus Exploit enthält jedoch persönliche Informationen oder Hinweise hinaus seine Identität.

Freilich im Februar 2016 kam Babam dazu Verifiziert, ein weiteres russischsprachiges Kriminalforum. Verified wurde in den letzten fünf Jahren mindestens zweimal gehackt und seine Benutzerdatenbank online gestellt. Selbige Informationen zeigen, dass Babam mit welcher Elektronischer Brief-Postadresse „Verified“ beigetreten ist.operans@gmail.com.“ Dasjenige neueste Verified-Leak enthüllte selbst private News, die von Forumsmitgliedern ausgetauscht wurden, darunter mehr qua 800 private News, die Babam im Laufe welcher Jahre im Forum gesendet oder empfangen hat.

Ursprung 2017 vertraute Babam einem anderen verifizierten Benutzer per privater Nachricht an, dass er aus Republik Litauen kommt. In praktisch allen seinen Forenbeiträgen und privaten News ist Babam zu sehen, wie er in transliteriertem Russisch kommuniziert, anstatt dasjenige kyrillische Alphabet zu verwenden. Dies ist im Rahmen cyberkriminellen Akteuren verbreitet, zu Händen die Russisch nicht ihre Muttersprache ist.

Die Cyber-Intelligence-Plattform Constella Intelligence teilte KrebsOnSecurity mit, dass die Postadresse operans@gmail.com im Jahr 2016 verwendet wurde, um ein Konto im Rahmen . zu registrieren filmai.in, ein Streifen-Streaming-Tätigkeit zu Händen litauische Sprecher. Jener mit diesem Konto verknüpfte Benutzername lautete „bo3dom.“

Eine umgekehrte WHOIS-Suche gut DomainTools.com sagt, dass operans@gmail.com verwendet wurde, um zwei Domainnamen zu registrieren: bonnjoeder[.]com zurück im Jahr 2011 und sanjulianhotels[.]de (2017). Es ist unklar, ob welche Domains jemals online waren, andererseits die Postadresse in beiden Datensätzen lautete „24 Brondegstr.” in Großbritannien. [Full disclosure: DomainTools is a frequent advertiser on this website.]

Eine umgekehrte Suche im Rahmen DomainTools hinaus „24 Brondeg St.“ enthüllt eine andere Schulfach: wwwecardone[.]com. Die Verwendung von Domains, die mit „www“ beginnen, ist im Rahmen Phishern ziemlich verbreitet, und im Rahmen passiven „Typosquatting“-Sites, die versuchen, Anmeldeinformationen von legitimen Websites abzugreifen, wenn Personen eine Domain falsch tippen, z. B. versehentlich dasjenige „.“ nachdem welcher Input von „www“.

Ein Fähnchen von welcher Internetpräsenz des russischsprachigen Cybercrime-Forums Verified.

Suche in DomainTools nachdem welcher Telefonnummer in den WHOIS-Datensätzen zu Händen wwwecardone[.]com — +44.0774829141 — führt zu einer Handvoll ähnlicher Typosquatting-Domains, einschließlich wwwebuygold[.]com und wwwpexppay[.]com. Eine andere britische Telefonnummer in einem neueren Eintragung zu Händen wwwebuygold[.]com-Domain – 44.0472882112 – ist an zwei weitere Domains gebunden – wie maniphone freischaltet[.]com, und PortalsagePay[.]com. Jedweder welche Domains stammen aus den Jahren 2012 solange bis 2013.

Die ursprünglichen Registrierungsdatensätze zu Händen die iPhone-, Sagepay- und Gold-Domains teilen sich eine Elektronischer Brief-Postadresse: devrian26@gmail.com. Eine Suche nachdem dem Benutzernamen „bo3dom“ gut den Tätigkeit von Constella zeigt ein Konto im Rahmen ipmart-forum.com, ein inzwischen nicht mehr existierendes Forum, dasjenige sich mit IT-Produkten wie Mobilgeräten, Computern und Online-Spielen befasst. Selbige Suche zeigt den Benutzer bo3dom, welcher im Rahmen ipmart-forum.com mit welcher Elektronischer Brief-Postadresse registriert ist devrian27@gmail.com, und von einer URL in Vilnius, Republik Litauen.

Devrian27@gmail.com wurde verwendet, um mehrere Domains zu registrieren, einschließlich wwwsuperchange.ru zurück im Jahr 2008 (man beachte wieder den verdächtigen „www“ qua Teil des Domainnamens). Die Passwortwiederherstellungsfunktion von Google Mail sagt, dass die Sicherheitskopie-Elektronischer Brief-Postadresse zu Händen devrian27@gmail.com . lautet bo3********@gmail.com. Gmail akzeptiert die Postadresse bo3domster@gmail.com qua Wiederherstellungs-Elektronischer Brief zu Händen dieses devrian27-Konto.

Laut Constella wurde die Postadresse bo3domster@gmail.com im Laufe welcher Jahre im Rahmen mehreren Datenschutzverletzungen aufgedeckt und in jedem Kernpunkt wurde eines von zwei Passwörtern verwendet: „lebeda1” und “a123456“.

Wenn Sie in Constella nachdem Konten suchen, die welche Passwörter verwenden, werden eine Warteschlange zusätzlicher „bo3dom“-Elektronischer Brief-Adressen angezeigt, darunter bo3dom@gmail.com. Wenn man in Constella hinaus welche Postadresse schwenkt, zeigt sich, dass Leckermäulchen mit dem Namen Vytautas Mockus benutzte es, um ein Konto im Rahmen mindjolt.com zu registrieren, einer Website mit Dutzenden einfacher Puzzlespiele, die Gast online spielen können.

Irgendwann wurde offenbar selbst mindjolt.com gehackt, denn laut einer Kopie seiner elektronischer Karteikasten im Rahmen Constella hat bo3dom@gmail.com hinaus dieser Seite zwei Passwörter verwendet: lebeda1 und a123456.

Eine umgekehrte WHOIS-Suche nachdem „Vytautas Mockus“ im Rahmen DomainTools zeigt die Elektronischer Brief-Postadresse devrian25@gmail.com wurde 2010 verwendet, um den Domainnamen zu registrieren Perfektes Geld[.]co. Dies ist ein Persönlichkeit von Perfectmoney[.]com, eine frühe virtuelle Währung, die in vergangener Zeit im Rahmen Cyberkriminellen sehr beliebt war. Die mit dieser Domainregistrierung verknüpfte Telefonnummer lautete „86.7273687“.

Eine Google-Suche nachdem „Vytautas Mockus“ besagt, dass es eine Person mit diesem Namen gibt, die in Republik Litauen ein mobiles Foodservice-Unternehmen namens „Palvisa.“ Ein Lagebericht gut Palvisa (Portable Document Format) gekauft im Rahmen Rekvizitai.vz – ein offizielles Online-Verzeichnis litauischer Unternehmen – sagt, dass Palvisa 2011 von einem Vytautaus-Mockus unter Verwendung welcher Telefonnummer gegründet wurde 86.7273687, und die Elektronischer Brief-Postadresse bo3dom@gmail.com. Jener Lagebericht besagt, dass Palvisa angeschaltet ist, andererseits außer dem Gründer keine Mitwirkender hatte.

Jener 36-jährige Mr. Mockus, welcher gut die Postadresse bo3dom@gmail.com erreicht wurde, drückte seine Verwunderung darüber aus, wie seine persönlichen Wissen in so vielen Aufzeichnungen landeten. “Selbst bin in kein Verbrechen verwickelt”, schrieb Mockus qua Reaktion.

Eine grobe Mindmap welcher in dieser Historie erwähnten Verbindungen.

Die Domains, die Babam wohl gut weitestgehend 10 Jahre registriert hat, deuten darauf hin, dass er zunächst hauptsächlich von anderen Cyberkriminellen gestohlen hat. Solange bis 2015 beschäftigte sich Babam stark mit „Carding“, dem Verkauf und welcher Verwendung gestohlener Zahlungskartendaten. Solange bis 2020 hatte er seinen Hauptaugenmerk weitestgehend vollwertig darauf verlagert, Zugang zu Unternehmen zu verkaufen.

Ein vom Threat Intelligence-Unternehmen Flashpoint erstelltes Profil besagt, dass Babam im Exploit-Forum zu Händen Cyberkriminalität mindestens vier positive Feedback-Bewertungen von Gaunern erhalten hat, die mit welcher LockBit-Ransomware-Gangart in Vernetzung stillstehen.

Dasjenige Ransomware-Verbands… LockBit gibt Babam positives Feedback zu Händen den Verkauf des Zugangs zu verschiedenen Opferorganisationen. Skizze: Flashpoint

Laut Flashpoint hat Babam im vierter Monat des Jahres 2021 den Verkauf von Citrix-Zugangsdaten zu Händen ein internationales Unternehmen ausgeschrieben, dasjenige im Sektor Labortests, Inspektion und Zertifizierung tätig ist, vereinigen Jahresumsatz von mehr qua 5 Milliarden US-Dollar und mehr qua 78.000 Mitwirkender hat.

Flashpoint sagt, dass Babam ursprünglich angekündigt hatte, den Zugang verkauft zu nach sich ziehen, andererseits später die Lizitation wieder eröffnete, weil welcher potenzielle Käufer aus dem Kaufhaus ausgestiegen war. Wenige Tage später veröffentlichte Babam die Lizitation erneut, fügte weitere Informationen gut die Tiefsinn des illegalen Zugriffs hinzu und senkte seine Preisvorstellung. Jener Zugang wurde weniger qua 24 Zahlungsfrist aufschieben später verkauft.

„Basierend hinaus den bereitgestellten Statistiken und sensiblen Quellenberichten umziehen die Flashpoint-Analysten mit hoher Sicherheit davon aus, dass die kompromittierte Organisation wahrscheinlich war Bureau Veritas, eine Organisation mit Hauptsitz in Französische Republik, die in einer Vielzahl von Sektoren tätig ist“, schloss dasjenige Unternehmen.

Im November räumte Bureau Veritas ein, sein Netzwerk qua Reaktion hinaus vereinigen Cyberangriff geschlossen zu nach sich ziehen. Dasjenige Unternehmen hat nicht gesagt, ob es sich im Rahmen dem Zwischenfall um Ransomware handelte und wenn ja, um welche Erscheinungsform von Ransomware, andererseits seine Reaktion hinaus den Zwischenfall ist geradeaus aus dem Playbook zu Händen die Reaktion hinaus Ransomware-Angriffe. Bureau Veritas hat noch nicht hinaus Anfragen nachdem Kommentaren geantwortet; seine jüngste öffentliche Erläuterung vom 2. letzter Monat des Jahres enthält keine weiteren Feinheiten zur Ursache des Vorfalls.

Flashpoint stellt steif, dass Babams Verwendung von transliteriertem Russisch sowohl im Rahmen Exploit qua selbst im Rahmen Verified solange bis etwa März 2020 fortbesteht, wenn er in seinen Forumskommentaren und Verkaufsthreads hauptsächlich hinaus Cyrillc umstellt. Laut Flashpoint könnte dies ein Rauchzeichen darauf sein, dass seither eine andere Person dasjenige Babam-Konto verwendet, oder wahrscheinlicher, dass Babam von Anfang an nur schwache Russischkenntnisse hatte und sich seine Sprachkenntnisse und sein Selbstvertrauen im Laufe welcher Zeit verbesserten.

Jener letzteren Theorie wird Vertrauen schenken geschenkt, dass Babam in seinen Postings immer noch sprachliche Fehler macht, die darauf hindeuten, dass Russisch nicht seine Originalsprache ist, fand Flashpoint.

„Die Verwendung des doppelten „n“ in Wörtern wie „проданно“ (richtig – продано) und „сделанны“ (richtig – сделаны) durch den Bedrohungsakteur beweist, dass dieser Schreibstil im Rahmen maschineller Übersetzung nicht möglich ist, da dies nicht möglich wäre die korrekte Schreibweise des Wortes sein“, schrieben Flashpoint-Analysten.

„Selbige Erscheinungsform von Grammatikfehlern findet man vielmals im Rahmen Menschen, die keine ausreichende Schulbildung erhalten nach sich ziehen oder Russisch ihre Zweitsprache ist“, heißt es in welcher Schlussbemerkung weiter. „Wenn Leckermäulchen in solchen Fällen versucht, ein Wort richtig zu buchstabieren, übertreibt er ungewollt oder unwissentlich mit welcher Schreibweise und macht welche Erscheinungsform von Fehlern. Synchron kann die Umgangssprache fließend oder sogar muttersprachlich sein. Dasjenige ist oft typischerweise zu Händen eine Person, die aus den Staaten welcher ehemaligen Union der Sozialistischen Sowjetrepubliken kommt.“

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top