Pesquisadores descobriram 120 mil sistemas infectados que continham credenciais para fóruns de crimes cibernéticos. Muitos dos computadores pertencem a hackers, segundo eles. Analisando os dados, os pesquisadores descobriram que as senhas usadas para fazer login em fóruns de hackers eram geralmente mais fortes do que as de sites governamentais.
Depois de vasculhar 100 fóruns de crimes cibernéticos, a equipe de especialistas da empresa de inteligência contra ameaças Hudson Rock descobriu que alguns hackers infectaram inadvertidamente seus computadores e tiveram seus logins roubados. A Hudson Rock diz que 100 mil dos computadores comprometidos pertenciam a hackers e o número de credenciais para fóruns de crimes cibernéticos era superior a 140 mil.
Os pesquisadores coletaram as informações de vazamentos disponíveis publicamente, bem como registros de ladrões de informações provenientes diretamente de operadores de ameaças.
Ladrões de informações são um tipo de malware que pesquisa locais específicos no computador em busca de informações de login. Um alvo comum são os navegadores da web, por causa de seus recursos de preenchimento automático e armazenamento de senha.
Segundo a Hudson Rock, a identificação dos proprietários dos computadores comprometidos como hackers, ou ao menos entusiastas de hackers, foi possível observando os dados dos logs do ladrão de informações, que também expôs a identidade real do indivíduo, tais como credenciais adicionais encontradas nos computadores (e-mails adicionais, nomes de usuários); dados de preenchimento automático contendo informações pessoais (nomes, endereços, números de telefone) e informações do sistema (nomes de computador, endereços IP).
Em uma postagem anterior em seu blog, a Hudson Rock descreve como um proeminente operador de ameaças chamado La_Citrix, conhecido por vender acesso Citrix/VPN/RDP para empresas, infectou acidentalmente seu computador.
Analisando os dados coletados, a Hudson Rock determinou que mais de 57 mil usuários comprometidos tinham contas na comunidade Nulled[.]to de cibercriminosos iniciantes. Já os usuários do BreachForums tinham as senhas mais fortes para entrar no site, descobriram os pesquisadores, com mais de 40% das credenciais com ao menos dez caracteres e contendo quatro tipos de caracteres.
Veja isso
Fórum de hackers vaza dados de 478 mil membros do RaidForums
Cai RaidForums, um dos maiores fóruns hackers do mundo
No entanto, os hackers também usaram senhas muito fracas, como uma sequência de números consecutivos. Isso pode ser explicado pela falta de interesse em se envolver na comunidade. Eles poderiam estar usando a conta apenas para acompanhar as discussões, verificar quais dados estavam à venda ou apenas para ter acesso ao fórum sempre que algo mais importante acontecesse.
Os pesquisadores também descobriram que as credenciais para fóruns de crimes cibernéticos eram geralmente mais fortes do que os logins para sites do governo, embora a diferença não seja grande.
De acordo com a Hudson Rock, a maioria das infecções veio de apenas três ladrões de informações, que também são escolhas populares entre muitos hackers: RedLine, Raccoon e Azorult.No momento, um grande número de comprometimentos de acesso inicial começa com um ladrão de informações, que coleta todos os dados que um agente de ameaça precisa para representar um usuário legítimo, normalmente chamado de impressão digital do sistema.