Pesquisadores de segurança descobriram 120.000 sistemas infectados que continham credenciais para contas de fóruns de crimes cibernéticos. De acordo com eles, muitos dos computadores pertencem a hackers. Analisando os dados, os pesquisadores de ameaças descobriram que as senhas usadas para fazer login em fóruns de hackers eram geralmente mais fortes do que as de sites governamentais.
Logins de hackers comprometidos em contas de fóruns
Após vasculhar 100 fóruns de crimes cibernéticos, pesquisadores da empresa de inteligência contra ameaças Hudson Rock descobriram que alguns hackers infectaram inadvertidamente seus computadores e tiveram seus logins roubados. Hudson Rock diz que 100.000 dos computadores comprometidos pertenciam a hackers e o número de credenciais para fóruns de crimes cibernéticos era superior a 140.000.
Os pesquisadores coletaram as informações de vazamentos disponíveis publicamente, bem como registros de ladrões de informações provenientes diretamente de agentes de ameaças. Ladrões de informações são um tipo de malware que pesquisa locais específicos no computador em busca de informações de login. Um alvo comum são os navegadores da web, por causa de seus recursos de preenchimento automático e armazenamento de senha.
Alon Gal, diretor de tecnologia da Hudson Rock, disse ao BleepingComputer que “hackers de todo o mundo infectam computadores de forma oportunista, promovendo resultados para software falso ou por meio de tutoriais do YouTube que direcionam as vítimas a baixar software infectado”.
Entre os que caíram na tentação estavam outros hackers, provavelmente menos habilidosos, então eles foram infectados como qualquer outro usuário ingênuo tentando pegar um atalho. Identificar os proprietários desses computadores comprometidos como hackers, ou pelo menos entusiastas de hackers, foi possível observando os dados dos logs do ladrão de informações, que também expuseram a identidade real do indivíduo:
Os dados coletados pela Hudson Rock
Em uma postagem de blog anterior, Hudson Rock descreve como um proeminente agente de ameaças chamado La_Citrix, conhecido por vender acesso Citrix/VPN/RDP para empresas, infectou acidentalmente seu computador.
Olhando para os dados coletados, Hudson Rock determinou que mais de 57.000 usuários comprometidos tinham contas na comunidade Nulled[.]to de cibercriminosos iniciantes.
Os usuários do BreachForums tinham as senhas mais fortes para entrar no site, descobriram os pesquisadores, com mais de 40% das credenciais com pelo menos 10 caracteres e contendo quatro tipos de caracteres. No entanto, os hackers também usaram senhas muito fracas, como uma sequência de números consecutivos. Isso pode ser explicado pela falta de interesse em se envolver na comunidade.
A verdade é que eles poderiam estar usando a conta apenas para acompanhar as discussões, verificar quais dados estavam à venda ou apenas para ter acesso ao fórum sempre que algo mais importante ocorresse.
Os pesquisadores também descobriram que as credenciais para fóruns de crimes cibernéticos eram geralmente mais fortes do que os logins para sites do governo, embora a diferença não seja grande.
De acordo com Hudson Rock, a maioria das infecções veio de apenas três ladrões de informações, que também são escolhas populares entre muitos hackers: RedLine, Raccoon e Azorult.
