Una operación policial internacional cerró un “notorio mercado de piratas informáticos” que vendía acceso a dispositivos infectados y credenciales de cuentas robadas, anunciaron hoy el Departamento de Justicia de EE. UU. y Europol. La operación dirigida a Genesis Market involucró a 17 países, se apoderó de la infraestructura de la plataforma y resultó en “119 arrestos, 208 registros de propiedades y 97 medidas de tocar y hablar”. Europol dijo.
Genesis Market, ahora cerrado, “anunciaba y vendía paquetes de credenciales de acceso a cuentas, como nombres de usuario y contraseñas para correo electrónico, cuentas bancarias y redes sociales, que habían sido robados de computadoras infectadas con malware en todo el mundo”. Departamento de Justicia dijo. La llamada “Operación Monstruo de las Galletas” incautó 11 nombres de dominio de conformidad con una orden autorizada por el Tribunal de Distrito de EE. UU. para el Distrito Este de Wisconsin.
Mientras que Genesis Market sitio web público fue eliminado, su dominio .onion todavía era accesible en la web oscura usando Tor hoy. Aparentemente, las fuerzas del orden todavía están buscando al menos a algunas de las personas detrás de la plataforma, ya que el mensaje de incautación de dominio busca consejos de cualquiera que haya estado en contacto con los administradores de Genesis Market. Departamento del Tesoro de los Estados Unidos dicho Genesis Market “se cree que está ubicado en Rusia”.
Europol dijo que “a diferencia de otros mercados criminales, Genesis Market era accesible en la web abierta, aunque oculto para las fuerzas del orden público detrás de un velo de solo invitación. Su accesibilidad y precios bajos redujeron en gran medida la barrera de entrada para los compradores, convirtiéndolo en un recurso popular entre piratas informáticos”.
Según los informes, Genesis Market tenía alrededor de 59,000 usuarios registrados. Según Europol, el “principal producto delictivo del mercado eran las identidades digitales” o “lo que los propietarios del mercado llamaban ‘bots’ que habían infectado los dispositivos de las víctimas a través de malware o tomas de control de cuentas”.
La Operación Cookie Monster fue dirigida por el FBI y la Policía Nacional Holandesa, con la coordinación de Europol.
El “navegador personalizado” imitaba los dispositivos de las víctimas
Genesis Market surgió en marzo de 2018 y desde entonces “ha ofrecido acceso a datos robados de más de 1,5 millones de computadoras comprometidas en todo el mundo que contienen más de 80 millones de credenciales de acceso a cuentas”, dijo el Departamento de Justicia.
Al comprar un bot de Genesis Market, “los delincuentes tendrían acceso a todos los datos recopilados por él, como huellas dactilares, cookies, inicios de sesión guardados y datos de formularios de autocompletado”, dijo Europol. Los bots más baratos se vendieron por menos de un dólar cada uno, pero otros alcanzaron cientos de dólares y brindaron acceso a cuentas bancarias en línea.
Europol dijo que a los compradores de Genesis Market se les “proporcionó un navegador personalizado que imitaría el de su víctima”, permitiéndoles acceder a las cuentas de las víctimas “sin activar ninguna de las medidas de seguridad de la plataforma en la que estaba la cuenta. Estas medidas de seguridad incluyen reconocer una ubicación de inicio de sesión diferente, una huella digital de navegador diferente o un sistema operativo diferente”.
A Informe Brian Krebs describió la oferta de Genesis como “un complemento de navegador web personalizado que puede cargar un perfil de bot de Genesis para que el navegador imite prácticamente todos los aspectos importantes del dispositivo de la víctima, desde el tamaño de la pantalla y la frecuencia de actualización hasta la cadena de agente de usuario única vinculada al navegador web de la víctima .”
El DOJ dijo que accedió a la base de datos de usuarios de Genesis Market. “La base de datos contenía el historial de compras y actividades de todos los usuarios, lo que según los federales les ayudó a descubrir las verdaderas identidades de muchos usuarios”, escribió Krebs.
Tres grandes derribos en el último año
El derribo de Genesis Market sigue a acciones similares contra mercado de la hidra en abril de 2022 y BreachForos en marzo de 2023. El DOJ afirma que ha “desmantelado los mercados más grandes de la red oscura” debido a esas tres operaciones durante el último año.
El Departamento de Justicia dijo que las credenciales de las víctimas obtenidas durante la Operación Cookie Monster se proporcionaron a HaveIBeenPwned.comque lo ayuda a verificar si ha estado involucrado en una violación de datos.
La Oficina del Tesoro para el Control de Activos Extranjeros (OFAC, por sus siglas en inglés) dijo que designó a Genesis Market, lo que significa que “todas las propiedades e intereses en la propiedad de la entidad que se encuentran en los Estados Unidos o en posesión o control de personas estadounidenses deben bloquearse e informarse a la OFAC .” Además, cualquier persona que “participe[s] en ciertas transacciones con la entidad designada hoy pueden ellos mismos estar expuestos a sanciones”.