Хакеры запустили в даркнете новую торговую площадку Industrial Spy, где торгуют украденными у взломанных компаний данными, а также распространяют дампы бесплатно. При этом Industrial Spy позиционирует себя как маркетплейс, где компании могут приобрести данные своих конкурентов, чтобы получить доступ к коммерческой тайне, производственным чертежам, бухгалтерским отчетам и клиентским базам данных.
Отмечается, что многие компании, данными которых торгуют злоумышленники, в прошлом страдали от атак вымогателей. То есть хак-группы могли загрузить эту информацию со своим «сайтов утечек», чтобы перепродать на Industrial Spy.
Издание Bleeping Computer сообщает, что на новой торговой площадке есть предложения любых уровней, начиная от «премиальных» дампов, которые стоят миллионы долларов, и заканчивая менее «горячими» предложениями, где можно приобрести даже отдельные файлов по цене 2 доллара США.
К примеру, сейчас на Industrial Spy продаются данные неназванной индийской компании, за которые злоумышленники просят 1,4 млн долларов с оплатой в биткоинах. При этом большую часть данных можно приобрести в виде отдельных файлов.
Также интересно, что Industrial Spy рекламируется весьма экзотическим образом. Так, журналисты Bleeping Computer узнали о торговой площадке от ИБ-исследователя MalwareHunterTeam, который обнаружил исполняемые файлы вредоносов (1, 2), чьи файлы README.txt содержали рекламу сайта. По сути, при запуске такая малварь создает текстовые файлы с рекламой в каждой папке на устройстве.
«[На Industrial Spy] вы можете купить или скачать бесплатно закрытые и компрометирующие данные ваших конкурентов. Мы публикуем схемы, чертежи, технологии, политические и военные тайны, бухгалтерские отчеты и базы данных клиентов. Все это собрано у крупнейших мировых компаний, конгломератов и концернов из разных отраслей. Мы собираем данные, используя уязвимости в их ИТ-инфраструктуре», — гласит реклама.
Как оказалось, такие исполняемые файлы, генерирующие README.txt с рекламой, распространяются через разные загрузчики малвари, обычно замаскированные под кряки и adware. Например, вымогатель STOP и трояны-стилеры, обычно распространяемые через кряки, устанавливаются вместе с исполняемыми файлами Industrial Spy.
По данным VirusTotal, файлы README.txt также были обнаружены в логах многочисленных троянов для кражи паролей, то есть оба вредоноса работали одновременно на одном и том же устройстве. Фактически это означает, что операторы Industrial Spy, скорее всего, сотрудничают с распространителями adware и кряков для продвижения своей торговой площадки.
