Месяц назад мы рассказывали о том, что один из популярнейших хакерских форумов в интернете, OGUSERS (он же OGU), был скомпрометирован второй раз за последний год. Тогда неизвестный злоумышленник похитил данные 200 000 пользователей, если верить официальной статистике пользователей, указанной на самом форуме.

В итоге OGUSERS был временно отключен и переведен в режим обслуживания, а пользователей уведомили о сбросе паролей, призвав всех включить двухфакторную аутентификацию для своих учетных записей, чтобы похищенные данные нельзя было  использовать для взлома аккаунтов.

Напомню, что еще один взлом OGUSERS произошел в мае 2019 года. Тогда атакующие проникли на сервер через уязвимость в одном из кастомных плагинов и получили доступ к бэкапу, датированному 26 декабря 2018 года. Затем сайт повторно взламывали и в ноябре 2020 года.

OGUSERS начинал свою работу как сайт, где продавали угнанные учетные записи на самых разных платформах и сервисах. Но если все начиналось с «интересных» аккаунтов в социальных медиа (Twitter, Instagram) с уникальными или короткими юзернеймами, то позже развилось в полноценный ресурс по продаже любых аккаунтов, в числе которых были учетные записи пользователей PlayStation Network, Steam, Domino’s Pizza и так далее.

Кроме того, журналисты Motherboard обращали свое внимание на OGUSERS еще в 2018 году, когда готовили цикл статей об участившихся случаях  мошенничества с SIM-картами. Такие атаки с захватом чужих телефонных номеров используются для хищения аккаунтов в социальных сетях, краж крупных сумм в криптовалюте и так далее. OGUSERS – одна из крупнейших торговых площадок, где продавались украденные при таких обстоятельствах аккаунты.

Как теперь сообщает ИБ-компания KELA , администратор форума OGUsers заявил, что сайт снова взломан, так как неизвестные загрузили веб-шелл на сервер. Сначала администрация сайта сомневалась, что БД пострадала, но вскоре на конкурирующем хак-форуме начали продавать украденную БД OGUsers за 3000 долларов.

Издание Bleeping Computer, со ссылкой на собственные источники, пишет, что OGusers взломали 11 апреля 2021 года, и злоумышленники имели полный доступ к дампу БД.  База включала записи примерно 350 000 пользователей и личные сообщения.

Источник рассказал изданию, что OGUsers использует множество подключаемых плагинов, содержащих уязвимости, которые злоумышленники могут объединить в цепочку для установки веб-шелла.

Виталий Кремез, глава компании Advanced Intel, говорит, что подобные утечки с криминальных форумов могут принести пользу правоохранительным органам и ИБ-исследователям:

«Эта утечка OGUsers потенциально может помочь выяить киберпреступников через учетные записи email- и IP-адреса, а затем связать эту информацию с их настоящими личностями. Предыдущие утечки OGUsers содержали важные улики, которые помогли раскрыть киберпреступные операции, особенно связанные с мошенничеством и захватом криптовалютных учетных записей, а также операциями по подмене SIM-карт».

1 комментарий

  1. Аватар

    Asylum

    29.04.2021 в 21:40

Оставить мнение