Los investigadores del equipo de investigación de fotones de Digital Shadows publicaron esta semana información sobre un foro clandestino de delincuentes cibernéticos en ruso que se destaca entre la multitud por una razón nueva, pero no del todo sorprendente: se dirige explícitamente solo a víctimas en Rusia y Bielorrusia.
El Dumps Forum parece haberse establecido en los últimos tres meses y, según el equipo de Photon, tiene una pequeña membresía de alrededor de 100 personas; aún no parece examinarlos. Como la mayoría de sus pares, contiene secciones que ofrecen ciberataques como servicio, fugas de datos, materiales ilícitos, soporte de tarjetas, malware y acceso a redes comprometidas.
Pero a diferencia de sus pares, el objetivo real de Dumps es apoyar el esfuerzo de guerra de Ucrania queda muy claro desde el principio; su declaración de misión se traduce como: “Los servicios de información/fugas u otros servicios en nuestro foro están permitidos en relación con solo dos estados, estos son la Federación Rusa y Bielorrusia. No se permiten temas que mencionen a otros países. Esta es la regla principal de nuestro foro”.
También se expresa esta intención de redirigir enlaces a información sobre el conflicto en curso en Ucrania y las organizaciones benéficas ucranianas y proucranianas.
El equipo de Photon dijo que, si bien la invasión rusa de Ucrania ha sido condenada en todo el mundo, el conflicto ha resultado muy divisivo en la comunidad ciberdelincuente, que, por supuesto, está fuertemente influenciada por los actores rusos.
“Las opiniones sobre la llamada ‘operación militar especial’ del presidente ruso Vladimir Putin dependen de varios factores, en particular los antecedentes del ciberdelincuente, las creencias políticas u otros impulsos nacionalistas”, escribieron.
“Como informamos en blogs anteriores, algunos usuarios de Internet se han encargado de asumir un papel activo en el conflicto, apuntando a organizaciones rusas con violaciones de datos específicas, denegación de servicio distribuida [DDoS] ataques y actividad de desfiguración”.
Sin embargo, continuaron, Dumps parece ser el único foro de delincuentes cibernéticos que ha adoptado una postura pro-Ucrania. “[This] coloca a Dumps Forum en una posición única, al mismo tiempo que pinta un objetivo en su propia espalda; si el foro se convierte en un proyecto bien conocido y exitoso, es probable que se convierta en un objetivo de contraactividad de los ciberdelincuentes que apoyan a Rusia”, agregaron los investigadores de Photon.
“La naturaleza descarada del foro quizás se destaque mejor cuando el administrador del foro publica su ubicación, que apunta a un apartamento residencial en Kyiv. El techo del edificio contiene un insulto hacia Vladimir Putin.
“No tenemos idea de si esta ubicación es en realidad la casa del administrador, sin embargo, enfatiza el espíritu de desafío y resistencia en el que se construye el foro”.
Los investigadores dijeron que las reglas del foro establecen que todos los temas deben estar dirigidos a la actividad anti-rusa o bielorrusa, y gran parte de lo que sucede dentro de sus límites se relaciona con el intercambio de datos filtrados, la publicidad de ataques DDoS, documentos de identidad falsificados y robados y ‘a prueba de balas’. ‘Servicios de hospedaje. Algunas secciones del foro, como las relacionadas con carding o corredores de acceso inicial [IABs]están de hecho desprovistas de actividad.
Por cierto margen, la sección activa más grande de Dumps está dedicada a la filtración de datos robados de organismos gubernamentales rusos y empresas del sector privado, incluidos varios proveedores de servicios públicos.
Mientras tanto, la sección DDoS como servicio de Dumps permite a los usuarios solicitar un ataque DDoS en cualquier recurso de la red, a partir de $ 80 por un bombardeo de una hora o $ 500 por 24 horas en la capa 4, con hasta 500 Gbps de potencia de fuego. . Un ataque DDoS de Capa 7 cuesta alrededor de $100 más caro.
La tercera sección más activa, conocida como ‘probiv’ (un término de la jerga rusa que se traduce libremente como ‘buscar’) que tiene como objetivo publicitar servicios de información donde los ciberdelincuentes pueden encontrar información sobre sus objetivos potenciales, por un precio. Algunos de los elementos actualmente disponibles incluyen información sobre pasaportes rusos, antecedentes penales que incluyen condenas por posesión de armas ilegales e información relacionada con personas que compran boletos para salir de Rusia.
El equipo de Photon postuló que esto podría sugerir que los administradores y usuarios de Dumps están particularmente interesados en los ciudadanos rusos que simpatizan con la causa de Ucrania, algunos de los cuales pueden estar inclinados a intentar viajar a Ucrania para actuar como mercenarios o partisanos. También se puede inferir esto del hecho de que el contenido del foro está escrito casi en su totalidad en ruso (que muchos ucranianos hablan) y no en ucraniano (que la mayoría de los rusos no hablan). Volcados afirma, por cierto, ser bloqueado en Rusia.
El equipo de Photon dijo que es probable que Dumps todavía esté tratando de establecerse, por lo que sigue siendo relativamente fácil de encontrar y unirse, aunque esto presenta un riesgo de seguridad operativa para sus administradores en caso de que se vuelva demasiado conocido, particularmente en la clandestinidad pro-rusa.
“Dumps Forum probablemente tiene un papel importante que desempeñar en la guerra en curso entre Rusia y Ucrania; como un centro para hacktivistas y actores patrióticos de amenazas cibernéticas, como un símbolo de resistencia y marcando una diferencia demostrable en el campo de batalla cibernético”, dijeron.
“Sin embargo, cualquier éxito logrado por Dumps Forum atraerá una atención no deseada. La prohibición de que los ciudadanos rusos visiten el foro destaca que el foro ya está en el radar del estado ruso. También es posible, de manera realista, que el éxito de Dumps Forum pueda inspirar a otros servicios que buscan desempeñar un papel en el conflicto en curso”.