Um enorme cache de dados de usuários e administradores do Swarmshop, site de compra e venda cartões de crédito e dados bancários roubados, vazou para em um fórum da dark web diferente do que era usado como repositório. A informação vem através de um relatório publicado nesta quinta-feira, 8, pela empresa de pesquisa de ameaças Group-IB.
De acordo com o levantamento da empresa, foram vazados 623 mil registros de cartões roubados, bem como informações de administrador, vendedor e comprador. Os pesquisadores do Group-IB descobriram que 62% deste total vieram de bancos dos EUA, 14% da China, cerca de 3% cada do Reino Unido, Canadá e França e cerca de 1% ou menos de Cingapura, Brasil, Arábia Saudita e México.
O Grupo IB suspeita que o roubo foi conduzido por alguns usuários do Swarmshop. “Embora a fonte permaneça desconhecida, deve ser um daqueles casos de hacks de vingança”, disse a empresa no relatório. “Este é um grande golpe para a reputação das lojas de cartões ilícitos, já que todos os vendedores perderam seus produtos e dados pessoais. É improvável que a loja de cartões recupere seu status.”
Os pesquisadores apontam duas evidências que indicam que a motivação foi a vingança. No primeiro ataque ocorrido em janeiro de 2020, um indivíduo disse que queria vender os dados para destruir a Swarmshop.
Dois usuários do Swarmshop tentaram injetar um script malicioso em busca de vulnerabilidades de sites no campo de informações de contato, diz o Group-IB, apontando que não está claro se isso estava relacionado ao roubo de dados.
Incidente anterior
O conteúdo roubado continha mais de 12 mil registros pertencentes aos administradores, vendedores e compradores da loja de cartões, incluindo seus apelidos, senhas com hash, detalhes de contato, histórico de atividades e saldo atual.
O Grupo IB notificou os centros de resposta e tratamento de incidentes (CERTs) de todos os países afetados.
A empresa de segurança caracteriza o Swarmshop como um mercado de médio porte. Os pesquisadores acreditam que ele foi inaugurado em abril de 2019 e, em março, tinha cerca de 12 mil corretores que, juntos, tinham cerca de US$ 18 mil em suas contas para pagamentos futuros.
Veja isso
Brasil responde por 45,4% dos vazamentos de cartões em 2020
VISA alerta para roubo de cartões com utilização de web shells
O Grupo IB observa que, em janeiro de 2020, cerca de 485 mil registros do Swarmshop foram roubados e, em seguida, movidos para o fórum clandestino para serem colocados à venda. O ladrão postou uma captura de tela supostamente tirada do painel de administração do Swarmshop no fórum de bate-papo do outro fórum da dark web. “Os administradores da loja de cartões que falam russo nunca comentaram sobre isso; o site deles, no entanto, caiu temporariamente devido à ‘transferência para o novo servidor”, diz o Group-IB.
No incidente do ano passado, o invasor disse em um post que queria vender os dados para destruir o Swarmshop. Em março, um novo membro do Swarmshop postou credenciais de administrador do site que foram roubadas em alguns de seus fóruns. Os administradores do Swarmshop alegaram que essas informações eram antigas e que as senhas foram alteradas.
Análise de danos
A análise do Grupo IB dos registros do Swarmshop expostos no recente vazamento encontrou registros de quatro administradores, 90 vendedores e 12.250 usuários que compraram dados roubados da loja. “Além dos cartões bancários roubados, o banco de dados revelou 498 conjuntos de credenciais de contas bancárias online e 68.995 conjuntos de números da previdência social dos EUA e 597 números da previdência social canadense”, afirma o relatório.
Desde o início do ano, autoridades policiais vêm reprimindo os mercados de darknet, as lojas da dark web. Em janeiro, a Europol trabalhou com outras agências para derrubar o DarkMarket e prender sua operadora. A Europol estima que o DarkMarket teve mais de 500 mil usuários e gerou mais de US$ 170 milhões em receitas.
Também em janeiro, o administrador do Joker’s Stash, considerado o maior vendedor de cartões de crédito roubados da dark web, anunciou que o site de carding seria fechado no mês seguinte. Esta decisão veio um mês depois que o FBI e a Interpol interromperam temporariamente as operações do mercado.Vários sites de comércio de cartão de pagamento concorrentes, incluindo Brian’s Club, Yale Lodge e Vclub, rapidamente passaram a conquistar a base de clientes do Joker’s Stash.