Expansão dos negócios da BidenCash: acesso ao servidor SSH agora disponível na Dark Web

Introdução

O BidenCash, um mercado de cartões famoso por vender informações vazadas de cartões de crédito, ganhou força significativa desde seu lançamento em abril de 2022. Recentemente, o mercado se aventurou em uma nova área, oferecendo serviços SSH aos compradores por apenas USD 2. O impacto dessas ofertas pode ser severo, pois os agentes de ameaças podem lançar ataques cibernéticos com os poderosos recursos de processamento dos servidores.

‍

Em Outubro de 2022, o primeiro conjunto de dados de 1,2 milhão de cartões de crédito vazou. Os conjuntos de dados envolveram informações confidenciais, como informações de identificação pessoal (PII) e números de previdência social (SSNs), além de detalhes do cartão e códigos CVV. Como resultado, o mercado cresceu rapidamente em popularidade e experimentou um aumento significativo no número de visitantes mensais, onde fevereiro de 2023 teve o maior número de visitantes devido ao seu último lançamento de 2 milhões de dados exclusivos de cartão de crédito em Fevereiro de 2023.

‍

‍

Novo empreendimento da BidenCash: venda de acesso SSH

Na última parte da semana passada, a CloudSEK notou um pequeno desvio do modelo de negócios primário da BidenCash, que envolve a venda de informações vazadas de cartão de crédito. O mercado parece ter se aventurado em uma nova área de venda de acesso SSH a compradores interessados.

‍

‍

‍

De acordo com o anúncio em um fórum clandestino de língua russa, os principais recursos fornecidos pelo BidenCash garantem uma experiência tranquila e eficiente para os interessados em comprar acesso SSH por meio do BidenCash. As ofertas incluem:

• Verificação de presença do shell: para garantir a presença de um shell no servidor de destino
• Informações sobre CPU e RAM: para fornecer informações sobre a capacidade de processamento do servidor
• Informações sobre a bandeira do servidor: para verificar a presença de vulnerabilidades ou explorações conhecidas
• Verificação da disponibilidade da porta Socks5: para verificar se o servidor suporta o protocolo Socks5
• Verificação de geolocalização: para confirmar a localização do servidor
• Verificando endereços IP em relação às listas negras Spamhaus, Sorbs.net, Spamcop, SouthKoreanNBL,

Barracuda BBL: Para garantir que o endereço IP do servidor não esteja na lista negra

• As opções de filtragem disponíveis incluem filtros baseados em geografia, arquitetura, presença de um shell, disponibilidade de socks5, nome de usuário etc.
• Verificação de validade antes de emitir acesso SSH: para garantir a ausência de acessos inativos.

‍

‍

‍

O anúncio também incentiva outros agentes de ameaças a unirem forças para expandir esse empreendimento. O BidenCash recebe 30% em comissão por cada venda oferecida no site.

‍

‍

Leia também O malware personalizado Kaiji tem como alvo dispositivos de IoT por meio de força bruta SSH

‍

Com base nessa nova oferta, vários vendedores existentes em diferentes fóruns da dark web também podem começar sua aventura na coleta de acessos SSH para monetizar o máximo do mercado. Ao listar seus acessos no Bidencash, os agentes da ameaça podem escapar do ciclo de negociações e das armadilhas criadas pelos pesquisadores de segurança nos fóruns.

‍

‍

Análise do inventário SSH e dos ganhos potenciais da BidenCash

Depois de analisar o inventário SSH da BidenCash nos últimos cinco dias, descobrimos que eles listaram mais de 850 servidores SSH com diferentes arquiteturas, configurações de CPU e países, entre outras coisas. Os preços desses servidores variam de $2 (mais baixo) a $10 (mais alto).

‍

‍

Com base em nossos cálculos aproximados, se todos os 850 cartões listados forem vendidos, os vendedores no mercado ganharão uma média de $3.570 a cada cinco dias (ou $21.420 por mês), enquanto o próprio BidenCash receberia $1.530 (ou $9.180 por mês) em comissão. No entanto, dada a popularidade do BidenCash, prevemos um aumento de pelo menos três vezes no número de listagens no mercado que podem atrair mais compradores em potencial ao longo do tempo.

‍

Comprovante do serviço

Com o lançamento da nova oferta de SSH, os agentes de ameaças já começaram a atestar isso em várias fóruns da dark web. Dada a popularidade e a reputação do BidenCash no mercado clandestino, é muito provável que muitos cibercriminosos já tenham começado a comprar essas ofertas ilegítimas para realizar atividades nefastas.

‍

‍

‍

Impacto a longo prazo

Os servidores SSH oferecidos no BidenCash mercado não são apenas baratos, mas também vêm com várias configurações de CPU e capacidades de processamento. Alguns dos servidores com acesso em nível de administrador ou root estão disponíveis por apenas $10, equipados com especificações de hardware poderosas. Observamos alguns dos servidores mais poderosos do mercado com 196GB de RAM e 104 núcleos de CPU.

‍

Isso representa um risco significativo, pois os agentes de ameaças podem aproveitar esse poder para realizar uma ampla variedade de atividades maliciosas, como exfiltração de dados, ataques de força bruta e ransomware e mineração de criptomoedas. Além disso, eles podem lançar em grande escala Ataques DDoS interromper os serviços em organizações privadas e governamentais, causando danos significativos às suas operações e reputação.

‍

Conclusão

Com a capacidade de comprar servidores poderosos e manter o anonimato, os ataques cibernéticos podem ser muito difíceis de impedir. A disponibilidade de servidores SSH em mercados como o BidenCash pode aumentar o escopo e a escala dos ataques, tornando imperativo que as organizações garantam a segurança de seus sistemas e mantenham seus servidores SSH seguros.

‍