No se habla de otra cosa en los chats de ciberseguridad. ¿No hay honor entre ladrones?, se preguntan los usuarios. Parece ser que no. Cuatro de los principales foros favoritos de ciberdelincuencia de Rusia han sido pirateados. Los datos robados en uno de ellos, el popular Mazafaka, se han publicado en línea durante 48 horas.
Según informa Krebsonsecurity, en las últimas los ciberdelincuentes que operaban en los foros de más caché en el mundo del crimen vía internet, han sido hackeados de manera inmisericorde. En dos de los ataques, los piratas informáticos sustrajeron las bases de datos de los usuarios, sus contraseñas hash y sus direcciones de correo electrónico, así como algunas de sus direcciones de plataformas de internet.
Según el mencionado sitio web, la mayor preocupación de las "víctimas" es que la información sustraída pueda servir de piedra de Rosetta virtual para averiguar las identidades en la vida real de los mismos usuarios en numerosos foros sobre delitos informáticos.
Mazafaka, que también es conocido como Maza o MFclub, era el sitio favorito de los ladrones cibernéticos rusos. Tenía ya diez años de antigüedad. El pdf filtrado en línea, con nada más y nada menos que 35 páginas, tenía una clave de cifrado privada que era la que supuestamente utilizaban los administradores de Maza.
La base de datos también incluye números ICQ para muchos usuarios. ICQ, también conocida como "Te busco", es una plataforma de mensajería instantánea que fue la pionera en su ámbito Como en el caso de WhastsApp, Jabber o Telegram, permite chatear yenviar mensajes instantáneos a otros usuarios conectados a la red de ICQ, así como el envío de archivos, videoconferencias y charlas de voz.
Los números ICQ vinculados a cuentas pueden ser una base para los investigadores con el fin de localizar las identidades de los ciberdelincuentes que operaban en Maza. Intel 471 está evaluando si la base de datos filtrada es legítima, y todos los indicios apuntan a que sí puede serlo. Según ha manifestado un portavoz.
“El archivo constaba de más de 3.000 filas, que contenían nombres de usuario, hashes de contraseñas parcialmente ofuscados, direcciones de correo electrónico y otros detalles de contacto (...) El análisis inicial de los datos filtrados apuntó a su probable autenticidad, ya que al menos una parte de los registros de usuarios filtrados se correlacionan con nuestras propias existencias de datos".
"Nuestro monedero de internet se ha roto"
El ataque a Maza se produce pocas semanas después de que otro importante foro criminal ruso fuera atacado. Ocurrió el pasado 20 de enero. Un antiguo administrador del foro en ruso Verified reveló que el registrador de dominios de la comunidad había sido pirateado y que el dominio del sitio fue redirigido a un servidor de Internet controlado por los atacantes.
Según se ha publicado, se robaron decenas de miles de mensajes privados entre usuarios verificados, incluida información sobre depósitos y retiros de bitcoins y contactos privados de Jabber.
Un administrador del foro informó con estas palabra a sus usuarios: “Nuestro monedero de bitcoin se ha roto. Afortunadamente, no guardamos grandes cantidades en él, pero este es un incidente desagradable de cualquier manera". El administrador admitió que era probable que todas las cuentas hubieran podido ser comprometida. Por ese motivo por el cual lo mejor para los usuarios y los administradores era restablecer los códigos.
Días después, el administrador publicó este mensaje: “Estamos recibiendo mensajes que sostienen que las bases de datos del foro se robaron tras el pirateo. Las contraseñas de las cuentas de todos se restablecieron a la fuerza. Transmita esta información a las personas que conoce. El foro fue pirateado a través del registrador de dominios. Primero se pirateó el registrador, luego se cambiaron los servidores de nombres de dominio y se detectó el tráfico".
El 15 de febrero, el administrador publicó un mensaje supuestamente enviado en nombre de los intrusos, que afirmaban que habían pirateado el registrador de dominios de Verified durante el periodo comprendido entre el 16 y el 20 de enero:
“Debería estar claro a estas alturas que la administración del foro no hizo un trabajo aceptable de seguridad... Lo más probable es que solo por pereza o incompetencia, renunciaron a hacer las cosas bien.. Pero la principal sorpresa para nosotros fue que guardaron todos los datos del usuario, incluidas cookies, referencias, direcciones IP de los primeros registros, análisis de inicio de sesión y todo lo demás".
El tercer parque de atracciones de los ciberdelincuentes rusos, Exploit, también ha sido víctima der un ciberataque. Según Intel 471, que un servidor proxy usado por el foro para la protección contra ataques de denegación de servicio puedo ser comprometido por un actor desconocido.
El administrador declaró que el 27 de febrero de 2021, un sistema de monitoreo detectó acceso de shell seguro no autorizado al servidor y un intento de volcar el tráfico de la red.
Los usuarios de foros de internet especializados en ciberseguridad tienen sospechas de que alguna agencia gubernamental esté detrás de estos ataques.
Otro popular foro de cibercrimen, Cdrclub, ha sido atacado
Algunos merodeadores de foros han especulado que estos compromisos recientes se sienten como el trabajo de alguna agencia de espionaje del gobierno.
“Solo los servicios de inteligencia o las personas que saben dónde están ubicados los servidores pueden llevar a cabo este tipo de cosas”, reflexionó un experto que opina enExploit. “Tres foros en un mes es simplemente extraño. No creo que fueran piratas informáticos habituales. Alguien está arruinando foros a propósito".
Si es así, lo han hecho bien. Los cibercriminales se quejan de la falta de seguridad a la que se están viendo expuestos, y la repercusión sobre sus negocios.
“Quizás funcionen de acuerdo con la siguiente lógica”, escribió un usuario de Exploit: "No habrá foros, no habrá confianza entre todos, menos cooperación, más difícil encontrar socios, menos ataques".
Según Intel 471, otro cuarto foro también sufrió un ataque. Se ha tenido noticia de ello el pasado jueves: “En febrero, el administrador de otro popular foro de ciberdelincuencia, Crdclub, anunció que el foro sufrió un ataque que comprometió la cuenta del administrador. El ciber atacante consiguió que los clientes del foro usaran un servicio de transferencia de dinero que supuestamente se avaló por los administradores. Era mentira y una cantidad de dinero cuyo montante ignoramos se desvió a otras cuentas. Los administradores del foro prometieron reembolsar su dinero a los defraudados. Ninguna otra información se ha visto comprometida en el ataque".