Joker’s Stash, il sito di carding dove i criminali informatici vendono le loro merci con carte di pagamento, ha subito un duro colpo dopo che le forze dell’ordine hanno apparentemente sequestrato uno dei suoi domini.
Joker’s Stash è una popolare destinazione per criminali informatici specializzata nel commercio di dati di carte di pagamento, che offre agli acquirenti milioni di carte di credito e di debito rubate. Ad ottobre, ad esempio, Dickey’s Barbecue Pit, franchise di carne affumicata con sede a Dallas, ha visto comparire sul sito 3 milioni di carte di pagamento dei clienti. Chiunque acquisti le informazioni può creare carte clonate da utilizzare fisicamente agli sportelli automatici o alle macchine in negozio che non sono abilitate per il chip; oppure possono semplicemente utilizzare le informazioni per acquistare oggetti online.
Secondo i ricercatori di Digital Shadows, Joker’s Stash evita i takedown operando da diversi domini. Questi includono domini blockchain tra cui .bazar, .lib, .emc e .coin, oltre a due versioni Tor (.onion) della piattaforma, hanno detto i ricercatori.
Ma alla fine della scorsa settimana, la versione .bazar del sito ha iniziato a mostrare una notifica che il Dipartimento di giustizia degli Stati Uniti e l’Interpol avevano sequestrato il sito. Poco dopo, i domini .lib, .emc e .coin hanno iniziato a mostrare un banner “Server non trovato”.
“Le prime chiacchiere sul forum dei criminali informatici in lingua russa XSS inizialmente hanno suggerito che l’intero sito fosse stato sequestrato e ha espresso preoccupazione per questo sviluppo”, secondo Digital Shadows, in un recente blog.
Il rappresentante ufficiale di Joker Stash, “JokerStash”, ha continuato a creare un post sul forum di carding in lingua russa Club2CRD, confermando che il server proxy esterno del dominio .bazar era stato rimosso, ma non è chiaro se il DoJ e l’Interpol siano effettivamente responsabili di questa azione. In ogni caso, la persona ha anche suggerito che il takedown non avrebbe influito a lungo sulle operazioni.
“Il rappresentante ha proseguito affermando che il server non conteneva alcun” dati del negozio “e ha annunciato che stavano creando nuovi server e effettuando la transizione del sito, il che significa che tutte le versioni blockchain del sito sarebbero ‘tornate a funzionare in pochi giorni’, “Secondo Digital Shadows. “Infine, il rappresentante ha confermato che le versioni Tor del sito sono rimaste inalterate e ha incoraggiato gli utenti a sfruttarle nel frattempo.”
Da lunedì, tuttavia, le versioni Tor del sito non erano disponibili, ma JokerStash ha affermato che i siti blockchain erano tornati in attività. “I collegamenti Tor che erano stati inizialmente pubblicizzati dopo il sequestro del dominio .bazar sembrano essere temporaneamente offline, probabilmente spostati su nuovi server”, ha postulato Austin Merritt, analista di cyber-threat intelligence presso Digital Shadows, in un’intervista via e-mail.
Pertanto, il sequestro del dominio .bazar probabilmente non farà molto per interrompere Joker’s Stash, hanno detto i ricercatori. “Joker’s Stash è presente in diversi forum sui crimini informatici e i suoi proprietari utilizzano questi forum per ricordare ai potenziali clienti che milioni di conti con carte di credito e di debito sono in vendita”, secondo il post. “Anche in seguito al sequestro del dominio .bazar, il rappresentante ufficiale di Joker’s Stash ha aggiornato un thread su Club2CRD con un lungo elenco di nuovi depositi di carte di pagamento recentemente aggiunti al sito.”
La tecnologia Blockchain Domain Name Server (DNS) è un sistema decentralizzato per domini di primo livello che non è regolamentato da un’autorità centrale come lo sono i siti DNS convenzionali. Quando un sito Web desidera abbinare l’indirizzo IP di un sito Web a un URL, la ricerca viene eseguita tramite una rete peer-to-peer. I siti DNS blockchain sono generalmente accessibili tramite Chrome, hanno detto i ricercatori, utilizzando una speciale estensione del browser blockchain che consente l’accesso a siti con determinati suffissi URL.
Questo lo rende un po’ un selvaggio West, con i ricercatori di Digital Shadows che notano che i servizi di sicurezza hanno più difficoltà a monitorare le attività dannose in quell’ambiente.
“[I servizi di carding] e altri siti utilizzati per scambiare informazioni sugli account rubati hanno sperimentato la tecnologia DNS peer-to-peer per nascondere attività dannose e, in modo cruciale, le loro piattaforme a prova di proiettile”, hanno scritto i ricercatori. “Poiché i domini blockchain non hanno un’autorità centrale e le registrazioni contengono hash crittografati univoci anziché il nome e l’indirizzo di una persona, è più difficile per le forze dell’ordine eseguire la rimozione del sito”.
Merritt ha detto che gli altri siti Stash non di Tor Joker erano probabilmente offline perché sono stati rimossi dall’amministratore.
“Poiché il rappresentante del sito ha affermato che stavano creando nuovi server e eseguendo la transizione del sito, è possibile che non abbiano completato la transizione“, ha detto. “Un’altra probabile causa dell’indisponibilità di questi siti è il fallimento dei plugin necessari per accedere ai domini .bazar, .lib, .emc e .coin; l’installazione di più plug-in può anche portare a un mancato accesso ai contenuti del sito.”
Mentre è improbabile che l’azione delle forze dell’ordine rallenti a lungo lo Stash di Joker, potrebbe avere ripercussioni sul “credito” del sito nell’underground criminale e mostra che i servizi DNS blockchain non sono intoccabili. Potrebbe anche spronarli a cambiare tattica, ha detto Merritt.
“L’importanza delle coalizioni delle forze dell’ordine che affrontano i fornitori di criminali informatici sui mercati e la loro capacità di rintracciare i fornitori, possono incoraggiare i team amministrativi del mercato criminale ad adottare approcci più consapevoli della sicurezza, come l’implementazione della crittografia PGP, l’autenticazione a due fattori (2FA), e sfruttando Monero (XMR) per evitare il monitoraggio”, ha detto a Threatpost. “L’azione delle forze dell’ordine contro Joker’s Stash può servire da deterrente a breve termine, ma la reputazione del sito come un [forum di carding] credibile per i criminali informatici verrà probabilmente mantenuta. Come abbiamo già visto, gli amministratori del sito possono adattarsi rapidamente ai tentativi di rimozione spostando le loro operazioni in domini più sicuri“.
Hanno aggiunto: “In futuro, altri … siti potrebbero essere l’obiettivo di operazioni di rimozione da parte delle forze dell’ordine nel tentativo di scoraggiare i criminali informatici. Sfortunatamente, quando un sito o un’operazione viene interrotta, il crimine informatico trova una via attraverso altre piattaforme con criminali informatici pronti a riempire il vuoto“.