De ondergrondse markt
De verborgen marktplaatsen op het Dark Web bieden een enorme variatie aan diensten waarmee criminelen hun voordeel kunnen doen. Deze fora bieden zaken als drugs en wapens, maar ook digitale diensten zoals het leveren van spam- en phishingdiensten, exploitkits, "crypters", "binders", op maat gemaakte malware-ontwikkeling, zeroday-exploits en bullitproof hosting.
De onderwereld heeft een eigen jargon en een eigen taal die vreemd aandoet. Crypters zijn tools die malware versleutelen om zo ontdekking door antivirusprogramma's te voorkomen. Binders zijn tools die worden gebruikt om legitieme programma's te combineren met malware. Zeroday-exploits zijn technieken om gebruik te maken van een nog ongepatchte kwetsbaarheid en worden gebruikt om toegang te krijgen tot andermans systemen. In de normale securitywereld staat FUD voor 'fear, uncertainty and doubt', maar op ondergrondse fora betekent het 'Fully UnDetectable'. Op de fora heb je 'rippers', die andere gebruikers oplichten door geld te innen zonder dat ze de bestelde spullen leveren. '
Luis Mendieta, onderzoeker bij beveiligingsbedrijf Anomali, doet voor ons op de volgende pagina's een analyse van een aantal meest bezochte ondergrondse marktplaatsen.
Sky-Fraud
Sky-Fraud is een Russisch ondergronds forum dat sinds 2014 actief is. De vaste gebruikersschare van Sky-Fraud is 26.000 actieve gebruikers groot en spreekt Russisch tot Engels. De diensten die aangeboden worden zijn erg divers. De volgende diensten kunnen worden gevonden:
- Escrow services.
- Bulletproof hosting services.
- PII (Personal Identifiable Information) en CC (Credit Card) data.
- Botnets, Exploits, Malware.
- BlackHat SEO (Search Engine Optimization) enWeb design.
- Betaalsystemen: BTC (Bitcoin), Paypal, Webmoney, Entropay.
Registreren voor dit forum staat voor iedereen open. Dat maakt het makkelijk voor oplichters, onbetrouwbare deelnemers, opsporingsambtenaren en security-onderzoekers. De informatie op de site is niet altijd even betrouwbaar gezien het aantal amateurhackers die er rondzwerven. Niettemin zijn er ook pro's actief, zoals eentje die bullitproof hosting aanbiedt, Volhav. Hij is overigens niet alleen actief op dit forum maar ook op enkele van de andere fora die later in dit artikel aan bod komen. Het is mogelijk dat deze speler verschillende fora uitprobeert om zo zijn diensten uit te breiden. Maar tot nu toe lijkt dat slechts sporadisch te zijn, aangezien hij slechts twee maal dit jaar iets heeft aangeboden.
Lampeduza
Ook Lampeduza is Russisch. Het forum specialiseert zich in creditcards. Maar er zijn ook segmenten die gericht zijn op hacking, anonimisering, spam en black hat SEO. De site was eerder onderwerp van discussie bij Krebs on Security in 2013 toen een van de forumleden, rescator, betrokken was bij de verkoop en verspreiding van data uit de Target-hack. Daarnaast lijkt Lampeduza nauw gerelateerd te zijn aan het beruchte creditcardforum rescator.com, waar credicarddata uit de inbraken bij Target, Home Depot en Sally Beauty te koop zijn aangeboden.
Toegang tot Lampeduza is aan allerlei restricties gebonden. Om toegang te krijgen moet een gebruiker eerst een invitatiecode krijgen van een bestaand lid, en daarna moet er nog eens 50 dollar worden betaald. Dat maakt de site meer exclusief en minder vervuild dan andere sites. Maar de potentiële koper moet nog steeds opletten voor niet geheel kosjere aanbieders. Wel heeft de site een reputatiesysteem waarin gebruikers klachten kunnen neerzetten en er actie kan worden ondernomen tegen een leverancier als dat nodig is. Overigens is zo'n systeem gebruikelijk bij de meeste van deze ondergrondse marktplaatsen.
De data die aangeboden wordt op deze marktplaats is van gemiddelde waarde.
Exploit dot in
De taal die gebruikt wordt in Exploit dot in is Russisch. Het is een hackingforum dat lijkt op andere hackingfora als LeakForums en HackForums. Exploit dot in is al sinds 2007 in de lucht, met zo rond de 35.000 gebruikers. Leden van dit forum worden doorgelicht voordat ze toegang krijgen en hebben momenteel een actief lid nodig die borg voor ze staat. Sommige niet-criminele delen van het forum staan open voor het publiek.
Die delen gaan over webdesign, programmeren en hardware. Andere secties zoals security en hacking, virologie, anonimiteit en de marktplaats vereisen wel een gebruikersaccount. De diensten die op het forum worden verkocht zijn onder meer de volgende:
- Creditcarddiensten
- Bulletproof hosting
- Malwareverspreiding
- Zero Day-kwetsbaarheden
- Malware
- Exploit Kits
- Trojans
- Crypters
Veel waarde van deze marktplaats ligt vooral in de relaties tussen de gebruikers. Veel van deze gebruikers posten hier onder hun 'echte' naam waar ze op andere fora aliassen gebruiken. Vanwege de strikte toegangseisen is dit forum minder vervuild met namaakaccounts dan HackForums en LeakForums.
LeakForums
LeakForums dook in 2011 op in de hackingscene. Tegenwoordig heeft het een gebruikersaantal van 1 miljoen mensen. Het platform is gespecialiseerd in lekken in PII, social media-accounts en de handel in betaalde hackertools (keyloggers, RAT's, crypters en binders). Ook bekende malware als Njrat, Adwind en Orcus zijn voor geregistreerde gebruikers te krijgen. Ook de volgende items zijn te koop:
- Softwaresleutels voor bekende programma's (MS Windows, MS Office, antivirus)
- Gestolen social media accounts
- Gehackte databases
- Gekraakte programma's (zoals Njrat, Adwind, Orcus)
De kwaliteit van de data op deze marktplaats is erg laag. Er zijn veel amateurcrimineeltjes bezig om hun reputatie omhoog te krikken, maar ze verkopen tools van lage kwaliteit. Deze site mist ook een reputatiesysteem die meer volwassen marktplaatsen wel hebben, zoals Alphabay en TheRealDeal. Dat maakt het moeilijker voor een potentiële koper om vertrouwen te hebben in de verkoper. De marktplaats is verder een belangrijke bron van het binnenhalen van gelekte data, en om bekende malware als ORCA of Adwind binnen te halen. Verder is de waarde van dit forum obscuur.
HackForums
HackForums is een van de langst bestaande hackingfora op het internet. Het werd in 2006 opgericht en heeft ongeveer 600.000 gebruikers in totaal. Het forum behandelt diverse onderwerpen in de informatiebeveiliging zoals hacken, programmeren, computerspelletjes, webdesign, en dat allemaal in combinatie met de verkoop van hacktools en -diensten. HackForums is berucht vanwege de enorme populatie van amateurhackers. Sommige meer ervaren criminelen bieden hier de volgende diensten aan:
- Stresser-diensten zoals. DDoS-programma's)
- Remote Access Tools
- Gestolen social media-accounts
- Crypters
- Virtual Private Server, VPN en hostingdiensten
HackForums kwam dit jaar in de schijnwerpers te staan nadat het MalwareHunterTeam een campagne op het spoor kwam die vanuit het forum leek te zijn opgestart. Deze campagne gebruikte de ORCUS RAT. Krebsonsecurity publiceerde een daaropvolgend artikel over de auteurs achter de malware. De kwaliteit van de data op deze marktplaats is erg laag. Net als LeakForums kan dat zijn door de afwezigheid van een reputatiesysteem. Iedereen die de marktplaats weet te vinden kan zich registeren voor aan account en heeft dan direct toegang tot het complete forum.
TheRealDeal
TheRealDeal is een marktplaats op het dark web dat ooit begin met het posten van zeroday-exploits. Later toen het populairder werd werden de aangeboden diensten meer divers. De volgende items worden tegenwoordig aangeboden:
- Wapens
- Vervalste spullen (bankpapieren, paspoorten, rijbewijzen)
- Gestolen creditcarddata
- Gehackte database-dumps
- Illegale drugs en medicijnen
- Exploits
- Fully UnDetectable's, one-day's (kwetsbaarheden die bekend zijn maar waar nog geen patch voor is)
Gedurende dit jaar werd deze marktplaats publiekelijk bekend na een aantal datadumps die veel stof deden opwaaien. Daarbij ging het om data van bekende organisaties. Deze dumps werden aangeboden door een bekend lid van dit forum, peace-of-mind. De kwaliteit van de diensten die op dit forum worden aangeboden is een mix. De reputatie van elke aanbieder kan worden bepaald door zijn rangschikking en door de commentaren op hun profiel. Potentiële klanten kunnen moeten dus enig onderzoek doen om te bezien of de aanbieders wel te vertrouwen zijn. De marktplaats biedt tevens multisignature-transacties om extra veiligheid te bieden. Een van de nadelen van deze marktplaats is dat je er makkelijk lid van kan worden. Er wordt geen controle vooraf gedaan. Daarom zijn veel security-onderzoekers en opsporingsambtenaren lid. Er is wel een meer afgesloten deel van het forum waarin meer illegale activiteiten worden benoemd, maar het blijft lastig die allemaal te kunnen verifiëren.
AlphaBay
Alphabay is een nieuwer forum dat bestaat sinds 2014. Deze Tor-gebaseerde markt kent een gestage groei sinds de oprichting, Tegenwoordig geeft het onderdak aan 240.000 gebruikers en biedt het de volgende items aan:
- Dumps, bankierdata, creditcarddata
- Illegale drugs en medicijnen
- Wapens
- Vervalsingen
- Cursussen hoe geld te verdienen met illegale activiteiten
- Exploits, Exploit Kits, botnets.
De kwaliteit van de producten varieert. Het is aan de potentiële koper om zich ervan te verzekeren dat de leverancier de hoogste niveau in waardering en betrouwbaarheid heeft. In AlphaBay is een level 5 met een betrouwbaarheidsniveau van 10 een topnotering. Daarnaast zal de koper de reviews moeten lezen om na te gaan over klachten zijn. AlphaBay verzekert dat de transacties veilig en naadloos verlopen door onder meer de multisignature-transactiemethode en two-factor-authenticatie bij het inloggen op de marktplaats. AlphaBay biedt tevens een digitale contractensysteem dat het reputatiesysteem gebruikt om de risico's in de transacties te verminderen. Het afsluiten van zo'n digitaal contract kost 5 dollar en moet worden betaald aan de admins. Dat sluit oplichting niet helemaal uit maar helpt wel in het onderlinge vertrouwen. Een vreemd aspect van AlphaBay is dat het gebruikers toestaat de marktplaats programmatisch te benaderen via een API.
Je kunt beter het origineel lezen dan deze gruwelijk slechte vertaling [Link]
Leuk stukje.
Wat echter enorm op valt is de hoeveelheid taalfouten. Dat is verbazingwekkend veel voor iemand die zo'n journalistisch stuk schrijft. Is er hier geen corrector die er naar kijkt of een spelchecker op zijn minst?
LMAO Hackforums, wat een kutsite is dat, jaartje lid van geweest (in 2009!) en dan ben ik overgestapt naar Fok!, wat een verademing!
Reageer
Preview