Dữ liệu bị đánh cắp được quảng bá thông qua các phần mềm quảng cáo và bẻ khóa trên nền tảng Industrial Spy mới
Các tác nhân đe dọa đã tung ra một nền tảng trao đổi mới có tên là Industrial Spy bán dữ liệu bị đánh cắp từ các công ty vi phạm, cũng như cung cấp dữ liệu bị đánh cắp miễn phí cho các thành viên của nó.
Mặc dù thị trường dữ liệu bị đánh cắp không phải là mới, thay vì tống tiền các công ty và dọa họ bằng tiền phạt GDPR, Industrial Spy tự quảng bá mình như một nơi mà các doanh nghiệp có thể mua dữ liệu của đối thủ cạnh tranh để truy cập vào bí mật thương mại, sơ đồ sản xuất, báo cáo kế toán và cơ sở dữ liệu khách hàng .
Tuy nhiên, sẽ không có gì ngạc nhiên nếu nền tảng trao đổi được sử dụng để tống tiền buộc các nạn nhân phải mua dữ liệu của họ để ngăn việc bán dữ liệu đó cho các tác nhân đe dọa khác.
Nền tảng Industrial Spy cung cấp các nguồn cung cấp dữ liệu khác nhau, với các gói dữ liệu bị đánh cắp "cao cấp" có giá hàng triệu đô la và dữ liệu cấp thấp hơn có thể được mua dưới dạng các tệp riêng lẻ với giá chỉ 2 đô la.
Ví dụ, Industrial Spy hiện đang bán dữ liệu của một công ty Ấn Độ trong danh mục cao cấp của họ với giá 1,4 triệu đô la, thanh toán bằng bitcoin.
Dữ liệu bị đánh cắp cao cấp
Nguồn: BleepingComputer
Tuy nhiên, phần lớn dữ liệu của họ đang được bán dưới dạng các tệp riêng lẻ, nơi những kẻ đe dọa có thể mua các tệp cụ thể mà họ muốn với giá 2 đô la mỗi tệp.
Khả năng mua các tệp riêng lẻ
Nguồn: BleepingComputer
Nền tảng cũng cung cấp các gói dữ liệu bị đánh cắp miễn phí, có khả năng lôi kéo các tác nhân đe dọa khác sử dụng trang web. Một số công ty có dữ liệu được cung cấp trong danh mục "Chung" được biết là đã từng bị tấn công ransomware trong quá khứ. Do đó, các tác nhân đe dọa có thể đã tải xuống dữ liệu này từ các trang web rò rỉ của băng đảng ransomware để bán lại trên Industrial Spy.
Được quảng bá thông qua các phần mềm quảng cáo và mở khóa
BleepingComputer lần đầu tiên biết đến thị trường Industrial Spy từ nhà nghiên cứu bảo mật MalwareHunterTeam, người đã tìm thấy các tệp thực thi phần mềm độc hại [1, 2] tạo tệp README.txt để quảng bá trang web. Khi được thực thi, các tệp phần mềm độc hại này sẽ tạo các tệp văn bản trong mọi thư mục trên thiết bị, chứa mô tả về dịch vụ và liên kết đến trang Tor.
"Ở đó, bạn có thể mua hoặc tải xuống miễn phí dữ liệu cá nhân và dữ liệu xâm phạm của đối thủ cạnh tranh. Chúng tôi công khai các kế hoạch, bản vẽ, công nghệ, bí mật chính trị và quân sự, báo cáo kế toán và cơ sở dữ liệu khách hàng", đọc tệp văn bản README.txt.
"Tất cả những điều này được thu thập từ các công ty, tập đoàn lớn nhất thế giới và mối quan tâm với mọi hoạt động. Chúng tôi thu thập dữ liệu bằng cách sử dụng lỗ hổng trong cơ sở hạ tầng CNTT của họ."
Tệp README.txt được tạo để quảng cáo thị trường
Nguồn: BleepingComputer
Khi BleepingComputer điều tra thêm phát hiện ra rằng các tệp thực thi này đang được phân phối thông qua các trình tải xuống phần mềm độc hại khác thường được ngụy trang dưới dạng các phần mềm quảng cáo và bẻ khóa.
Ví dụ: STOP ransomware và Trojan ăn cắp mật khẩu, thường được phân phối thông qua các phần mềm bẻ khóa, được cài đặt cùng với các tệp thực thi của Industrial Spy.
Hơn thế nữa, VirusTotal cho thấy rằng các tệp README.txt được tìm thấy trong nhiều bộ sưu tập nhật ký trojan ăn cắp mật khẩu, cho thấy rằng cả hai chương trình đều được chạy trên cùng một thiết bị. Điều này thể hiện rằng các nhà điều hành trang web Industrial Spy có khả năng hợp tác với các nhà phân phối phần mềm quảng cáo và bẻ khóa để chạy chương trình quảng bá nền tảng.
Mặc dù trang web không được sử dụng rộng rãi vào thời điểm này, các công ty và nhà nghiên cứu bảo mật cần phải theo dõi và dữ liệu mà nó có ý định bán.
Nguồn: BleepingComputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA