«Life in the SOC» es una serie de Blogs que comparte las experiencias de los SOC BlueVoyant defendiéndose de los ataques actuales y frecuentes encontrados por nuestros clientes. Los blogs discuten acciones exitosas de detección, respuesta y mitigación que pueden mejorar sus capacidades defensivas.
La investigación de BlueVoyant de la web oscura y los mercados subterráneos reveló que la búsqueda de ganancias financieras en el mundo criminal es tan fuerte como siempre. En febrero, los temas han cambiado un poco y los principales temas de conversación en estas áreas giraron en torno a CVV y BIN. PayPal seguía siendo un tema popular en febrero; sin embargo, su parte de las conversaciones se redujo. La criptomoneda también cayó un poco, así como las conversaciones generales de cardado.
El gráfico a continuación muestra el marcado aumento de las conversaciones subterráneas en torno al robo de CVV y contenedores, la venta y la recopilación de información.
En los últimos meses, la mayor parte de la colaboración y las ventas ilegales de datos robados se llevaban a cabo en foros de Acceso Especial. De hecho, en enero se registró un aumento de casi el 10% en la actividad del foro de acceso especial dirigida al sector financiero en diciembre. Esa tendencia se produjo durante varios meses.
Sin embargo, en febrero, BlueVoyant vio un cambio con los mercados de la web oscura tomando el primer lugar para las conversaciones de delincuentes cibernéticos con motivación financiera.
A continuación se muestran los foros criminales más activos.
Los foros de acceso especial de la web oscura normalmente requieren algún tipo de influencia en la industria criminal, o un patrocinador para obtener acceso. Estos foros suelen requerir permisos especiales para interactuar. Por tercer mes consecutivo, CardVilla Forum es el principal foro de acceso especial para discusiones relacionadas con las finanzas. Card Villa se anuncia como el mejor foro de cardado de la red oscura. Ofrecen «volcados gratuitos» y «estadísticas CVV gratuitas».»El sitio tiene actualmente más de 200 mil miembros. En el momento de escribir este artículo, se informa que el sitio recibe casi 1 mil visitantes únicos cada día.
Los foros subterráneos no requieren necesariamente permisos especiales y normalmente pueden ser accedidos por cualquier persona. Algunas secciones del foro pueden no estar disponibles para usuarios generales; sin embargo, en general, cualquiera puede publicar, responder, comprar y vender en estos foros.
El foro underground más importante del mes de febrero fue «Carding Forum». El sitio actualmente alberga a más de 150 mil usuarios con casi 4 MIL visitantes únicos al día. El sitio no solo ofrece productos como «dumps» y «fullz», sino que también ofrece capacitación y ayuda para personas interesadas en involucrarse en esta empresa criminal.
Los mercados de la web oscura existen para que los ciberdelincuentes vendan credenciales y acceso comprometidos. Estos sitios a menudo venden varios detalles de cuentas de pago e información de tarjetas de crédito junto con cualquier otro dato que se considere valioso. Algunos están automatizados, mientras que otros están muy moderados.
Joker’s Stash mantuvo su dominio en el mercado en febrero y, una vez más, ocupa el primer lugar en los mercados de la web oscura durante el mes. Como se indicó en informes anteriores, Joker’s Stash es un mercado notorio, principalmente de habla inglesa, que inicialmente se centró en las actividades de cardado. Desde entonces, el sitio ha reforzado las operaciones y la infraestructura para dar soporte a su creciente número de miembros de soporte y productos disponibles. El sitio ahora ofrece una variedad de Información de Identificación personal (PII), incluidos números de seguro social y otros datos que podrían usarse en una multitud de vectores de ataque. La investigación sobre la infraestructura del alijo de Joker reveló que el equipo detrás del sitio está operando actualmente en más de 500 dominios y más de 50 servidores.