Заключительная сделка Джокера: Поворотный момент для AVC?
Еще в декабре 2020 года Digital Shadows сообщила, что домены DNS Blockchain для печально известной автоматической торговой тележки (AVC) Joker's Stash отображали уведомление о том, что Министерство юстиции США и Интерпол захватили сайт.
Вскоре домены снова заработали, но возникло множество предположений о реальной истории уведомления об изъятии и долгосрочном будущем сайта. И на этом сказка не закончилась. В январе 2021 года администраторы Joker's Stash объявили, что сайт будет окончательно закрыт 15 февраля 2021 года. Грядущее закрытие было встречено неоднозначной реакцией пользователей на форумах киберпреступников, при этом многие комментарии на форумах были посвящены будущему продаж, связанных с кардингом. Это заставило нас задуматься о том, что может быть дальше для уже больной системы кардинга AVC и станет ли кончина Joker's Stash той соломинкой, которая сломает спину верблюда и станет началом широкомасштабного отказа от технологии AVC в пользу других платформ.
ЧТО ТАКОЕ ТАЙНИК ДЖОКЕРА?
Тайник Джокера стал отличительной чертой кардинг пейзажа с октября 2014 года. Он приобрел известность, предлагая регулярное пополнение реквизитов платежных карт, часто сенсационные обновления запасов, давая им захватывающие имена, такие как «ЛАВИНА» или «МАССИВНАЯ АТАКА». Администратор сайта поддерживал специальные темы на ряде форумов киберпреступников, связанных с кардингом, чтобы объявлять о свежих свалках и отвечать на вопросы и жалобы клиентов.
Рисунок 1. Интерфейс тайника Джокера
По соображениям безопасности и стабильности веб-сайт Joker's Stash был отражен на нескольких URL-адресах Tor, а в июле 2017 года команда, стоящая за сайтом, также создала несколько версий DNS Blockchain, включая .bazar, .lib, .emc и .coin. Blockchain DNS, децентрализованная система для доменов верхнего уровня, имеет значительные преимущества в плане безопасности по сравнению с обычными URL-адресами, в том числе с пуленепробиваемыми платформами и скрытой вредоносной активностью.
Рисунок 2: Информация о новых акциях на веб-сайте Joker's Stash
КОГДА ПОЯВИЛИСЬ ПРЕДУПРЕЖДАЮЩИЕ ЗНАКИ О ТАЙНИКЕ ДЖОКЕРА?
16 декабря 2020 года в нескольких версиях DNS-блокчейна Joker's Stash появились уведомления о том, что сайт был захвачен Министерством юстиции США и Интерполом. После первоначальной паники на форумах киберпреступников из-за того, что весь сайт упал, официальный представитель на форуме Joker's Stash сообщил, что был «взломан» только внешний прокси-сервер домена .bazar. Представитель сказал, что этот сервер не содержит никаких «данных о магазине», добавив, что в течение «нескольких дней» все версии сайта Blockchain будут переведены на новые серверы. Тем временем они поощряли своих клиентов использовать явно не затронутые версии Tor сайта.
Несколько недель спустя все еще неясно, что именно произошло с этим предполагаемым припадком. К январю 2021 года все версии сайта были снова запущены и работали, как и было обещано, и тематические разделы форума Joker's Stash снова регулярно обновлялись свежими объявлениями об акциях.
Подобные события нередко остаются загадкой. Когда в 2019 году известный англоязычный хакерский форум KickAss отключился, на сайте на короткое время появилось уведомление об изъятии, но до сих пор причастность правоохранительных органов не подтверждена. В декабре 2020 года KickAss объявил о своем возвращении, объяснив закрытие сайта преднамеренным решением, направленным на то, чтобы избежать повышенного внимания со стороны одного из его участников, вымогателя «TheDarkOverlord». Тем не менее, мы, вероятно, никогда не узнаем, насколько правдива эта версия событий.
Рисунок 3: Уведомление об изъятии KickAss и предположения относительно его достоверности
ЧТО БЫЛО ОБЪЯВЛЕНО О ЗАКРЫТИИ ТАЙНИКА ДЖОКЕРА?
15 января 2021 года администратор Joker's Stash опубликовал в своих обсуждениях на форуме, что платформа будет полностью закрыта 15 февраля 2021 года, чтобы ее создатель мог выйти на «заслуженную пенсию». 30 дней между датой объявления и закрытия предназначены для того, чтобы предоставить пользователям возможность потратить оставшиеся остатки на счете, после чего все серверы и резервные копии будут стерты, а тайник Джокера «навсегда исчезнет». В объявлении о закрытии подчеркивалось, что «МЫ НИКОГДА НИКОГДА СНОВА НЕ ОТКРЫВАТЬСЯ», и предупреждалось: «НЕ доверяйте возможным будущим самозванцам».
В редкий для киберпреступного мира момент сентиментальности объявление о закрытии закончилось советом для злоумышленников не «теряться в погоне за легкими деньгами», советуя им помнить, что «даже все деньги в мире никогда не принесут вам прибыли». счастливы и что все самое ценное в этой жизни - бесплатно».
Рисунок 4: Объявление о предстоящем закрытии тайника Джокера
КАК КИБЕРПРЕСТУПНИКИ ОТРЕАГИРОВАЛИ НА ЗАКРЫТИЕ ТАЙНИКА ДЖОКЕРА?
Немедленная реакция на объявление о закрытии форумов киберпреступников была неоднозначной. На русскоязычном форуме киберпреступников, посвященном кардингу, многие пользователи выразили обеспокоенность этой новостью и поблагодарили Joker's Stash за годы службы.
Рисунок 5: Типичное сообщение на форуме с благодарностью Joker's Stash за предоставленные услуги
Типичные комментарии включали:
- «БОЛЬШОЕ СПАСИБО, ДЖОКЕР. ВЫ ДАЛИ НАМ ТАК МНОГО ВОЗМОЖНОСТИ ЗАРАБАТЫВАТЬ И РАСТИ »
- «Видя эту новость, мне жаль себя и рада за тебя»
- «Джокер, не закрывайся, пожалуйста, я люблю тебя, братцы, ты делаешь мою жизнь великим человеком, не закрывайся, пожалуйста»
- «Если у вас проблемы с федералом, вам действительно стоит создать новый сайт. Мы не можем попрощаться с тобой»
Точно так же на форуме англоязычного сообщества Dread пользователь посетовал: «Человечество все еще живо, и вот еще одно изящное завершение. Снимаю шляпу перед магазином Joker Stash ».
Рисунок 6. Страшный пост, в котором выражается печаль по поводу закрытия Тайника Джокера.
И наоборот, большая часть комментариев от пользователей форума предполагала, что потеря Joker's Stash была не такой уж большой, поскольку в магазине никогда не было товаров высокого качества. Один пользователь кардинг форума написал: «Да не о чем плакать, никогда не было для меня лучшим магазином, всегда хлопот и низкие допустимые низкие цены и высокие цены». В последние месяцы Digital Shadows наблюдала все более частые комментарии на форумах киберпреступников с жалобами на ухудшение качества материалов, размещаемых на Joker's Stash. Выделенные треды Joker's Stash часто заполняются жалобами пользователей на некачественный материал или требованиями о возврате денег.
Рисунок 7: Типичное сообщение на кардинг форуме с жалобой на магазин Joker's Stash
Например, в апреле 2020 года один пользователь Dread спросил, действительно ли Joker's Stash «настолько качественный, насколько рекламируется», получив ответ: «Нет. На сегодняшний день лучший сайт - pois0n.ru и savastan0.biz / store». В ходе обсуждения на англоязычном форуме киберпреступников RaidForums, связанного с объявлением о закрытии тайника Джокера, пользователь высказал мнение, что сервис вряд ли откроется в будущем, добавив: «Есть [sic] уже работающие альтернативы с гораздо большей репутацией, чем их новый сайт получит».
ПОЧЕМУ AVC - ПОПУЛЯРНЫЙ ВАРИАНТ ДЛЯ КИБЕРПРЕСТУПНИКОВ?
AVC - популярный вариант благодаря простоте использования и массовому предоставлению данных кредитных карт. Всего за несколько щелчков мышью злоумышленник, намеревающийся совершить финансовое мошенничество, может зарегистрироваться на кардинге AVC, выбрать банк своей жертвы и выбрать счета для покупки. Даже когда AVC требуют, чтобы пользователи вносили средства на сайт, прежде чем они смогут выполнять поиск по спискам (как это сделал Joker's Stash), это не усложняет процесс значительно. Продавцы, которых часто называют «аффилированными лицами», напрямую получают информацию о платежных картах и предоставляют эти данные AVC, получая взамен часть прибыли.
Хотя Joker's Stash, возможно, был одним из самых популярных кардингу AVC, он работал на переполненном рынке. На приведенном ниже снимке экрана показан только выбор выделенных потоков, управляемых кардингом AVC.
Рисунок 8: Выделенные потоки, управляемые кардингом AVC форуме
Пользователям, просто желающим перейти из одного магазина в другой, просто нужно выбрать одну из множества доступных альтернатив. Это, вероятно, окажется популярным вариантом. Всего через два дня после объявления о закрытии тайника Джокера пользователь известного русскоязычного форума киберпреступников XSS попросил рекомендации по кардинальным магазинам, указав названия нескольких сайтов, о которых они уже знали, таких как Ferum и UniCC. Их ветка получила множество ответов от пользователей, предлагающих другие варианты.
Рисунок 9: Пользователь XSS запрашивает рекомендации по кардинг магазинам
Члены страха, ищущие альтернативы AVC, также получили множество рекомендаций, на которые можно было опираться, с обсуждением доступных магазинов в течение нескольких месяцев. В последние недели пользователи Dread рекомендовали такие сайты кардинга, как VClub и BriansClub, и обсуждали такие варианты, как 2force, C2bit и Central Shop.
Рисунок 10: опасающиеся пользователи, обсуждающие альтернативы AVC 2force, c2bit и Central Shop
КАКОВЫ НЕДОСТАТКИ AVC?
Несмотря на то, что многие киберпреступники отреагировали на потерю Joker's Stash, ища или предлагая другие AVC, наблюдается растущий отход от этой технологии в целом. В наши дни очень часто можно увидеть, как злоумышленники жалуются на низкое качество карт AVC. Более того, в последнее время закрыли свои двери многие кардинги AVC в дополнение к Joker's Stash. В одном сообщении на Club2CRD жаловалось: «RIP JokerStash, RIP Stiff.academy, RIP ccclinique, RIP binmarket, RIP rescator». Хотя эти закрытия никоим образом не уменьшили доступность - новые карданные AVC возникли в ответ на отключения - они, возможно, указывают на то, что для этого типа технологии не все хорошо.
Как мы писали в нашем техническом документе «Форум современных киберпреступников: устойчивая модель» , у AVC есть врожденные недостатки по сравнению с альтернативными платформами.
- Злоумышленникам может быть сложно определить надежность AVC и качество размещенного на нем материала. Сравните это с форумами киберпреступников, участники которых могут использовать системы репутации и истории сообщений пользователей, чтобы помочь им оценить легитимность поставщиков.
- Системы арбитража и условного депонирования на форумах снижают риск мошенничества, увеличивая вероятность честной сделки и вводя последствия для неудавшихся транзакций. У ОВК отсутствует встроенная система правосудия.
- Некоторые киберпреступники также подвергли сомнению безопасность AVC, особенно после взлома в 2019 году известного AVC BriansClub, в ходе которого были раскрыты детали примерно 26 миллионов украденных кредитных и дебетовых карт.
- Запуск успешного AVC - это деликатная операция: если данные платежной карты не украдены, не доставлены и не рекламируются своевременно, данные могут быть аннулированы еще до того, как покупатель даже сможет их использовать.
- Требование предоставлять часть денег, полученных от продаж, аффилированным лицам, которые предоставляют данные украденных карт, снижает прибыль для AVC. И, с другой точки зрения, филиалы могут заработать намного меньше от своих преступлений, если они продадут AVC, а не просто сами будут рекламировать данные кредитной карты на форуме или на платформе личных сообщений.
В то время как использование AVC для эффективной торговли данными кредитных карт было нормой в течение ряда лет, в течение многих месяцев кардинг сообщество разделилось по достоинствам различных вариантов покупки украденных данных платежных карт. Еще в октябре 2019 года в ветке русскоязычного кардинг форума один пользователь посоветовал «лучше использовать частного продавца… все остальное - мусор, даже [sic] joker», имея в виду AVC Joker's Stash. Другие посоветовали обратиться на форумы, чтобы найти качественный материал. В вышеупомянутой ветке XSS пользователь рекомендовал использовать частного продавца при покупке в больших объемах. Эту точку зрения можно было найти и на сайте Dread, где один из участников заявил, что кардинг сайты являются «мошенничеством» и что покупатели должны искать карты, снятые в частном порядке.
Рисунок 11: Пользователь XSS рекомендует использовать частного продавца для информации о карте
ЧТО ЖДЕТ КАРДИНГ И AVC В БУДУЩЕМ?
Объявление о выходе на пенсию не обязательно означает конец активности злоумышленника в даркнете. Например, операторы ныне несуществующей программы-вымогателя «GandCrab» объявили о своем завершении в мае 2019 года, но сходство между этим вариантом и вариантом «Sodinokibi» заставило многих поверить, что они связаны между собой; некоторые исследователи предположили, что операторы GandCrab участвовали в разработке Sodinokibi. В другом случае бывший администратор русскоязычного форума киберпреступников Exploit объявил о своем уходе с сайта по состоянию здоровья в 2018 году, но впоследствии приобрел резервную копию несуществующего форума DamageLab и преобразовал его в действующий в настоящее время форум XSS. Так что, несмотря на их протесты, мы еще можем увидеть возвращение Тайника Джокера.
С кончиной Joker's Stash, кардинг, похоже, находится на стыке. У киберпреступников есть множество вариантов, в том числе другие AVC, форумы киберпреступников или даже торговые площадки в темной сети. В прошлом мы видели, как такие рынки, как Empire, предлагали свои кардочесальные машины в попытке захватить сегмент рынка. Платформы обмена сообщениями, такие как Telegram и Discord, также могут стать более популярным элементом в карточной игре, предоставляя возможность, помимо форумов, находить частных продавцов. Продавцы могут выбрать частный канал или сервер, на котором они могут рекламировать свои карты непосредственно своей аудитории и не платить за это посредникам. Однако совершать транзакции через такие платформы не всегда просто и удобно. Для тех, кто ценит простоту использования, безопасность на форумах киберпреступников постоянно улучшается. Это означает, что покупка деталей кардинга на этих сайтах становится безопаснее и удобнее. Что касается AVC, то, если популярность этой технологии для кардинга снизится, мы, возможно, увидим рост спроса на продажу других видов товаров и услуг. Genesis Market, например, использует модель AVC для облегчения продаж в учетных данных и журналах ботнета. Так что, даже если кардеры перейдут на новые пастбища, мы, возможно, еще не попрощаемся с AVC.
Digital Shadows будет продолжать внимательно следить за развитием кардинга, ища любые признаки того, в какую сторону может дуть ветер. Сервис SearchLight от Digital Shadows включает в себя постоянно обновляемую библиотеку аналитики угроз, которая дает представление об этой и других тенденциях, связанных с киберпреступниками, которые могут повлиять на вашу организацию и позволить службам безопасности оставаться впереди всех.