Breached shutdown sparks migration to ARES data leak forums
2023/04/08 BleepingComputer — ARES と呼ばれる脅威グループが、企業や公的機関から盗み出したデータベースを販売/流出させることで、サイバー犯罪シーンで評判を呼んでいる。この脅威アクターは、2021年後半に Telegram に登場し、ランサムウェア RansomHouse オペレーションや、データ漏洩プラットフォーム KelvinSecurity、ネットワーク・アクセスグループ Adrastea などと関連している。
ARES Group は、データベース・リークとフォーラムを備えた独自サイトを運営しており、現在は廃止されている Breached フォーラムの空白を埋めるものになるかもしれない。Cyfirma のレポートによると、ARES はカルテルのような行動をとり、他の脅威アクターとの提携を積極的に求めている。
ARES Leaks とは?
ARES Leaks は、米国/フランス/スペイン/オーストラリア/イタリアなどの、65カ国に関連するデータリークへのアクセスを提供する、通常の Web 上にホストされるプラットフォームである。この Web サイトは、電話番号/電子メールアドレス/顧客詳細/B2B/SSN/企業データベースから、FX データ/政府リーク/パスポートにまで至る、あらゆる種類のリーク情報をホストしている。
このグループは、暗号通貨の支払いを受け付けることで、データへの不正アクセス/脆弱性の悪用/ペンテスト/マルウェア開発/分散型サービス拒否 (DDoS) 攻撃などに利用できる、悪意のサービスをメンバーたちへ提供する。Cyfirma によると、ARES Leaks の活動は、Breached がシャットダウンした後に増加したとのことだ。2022年末に ARES は、マルウェア開発者と専門家ペンテスターをシリアで採用し、暗号通貨での支払いを提示していた。
ARES は、プライベート・チャネルや VIP チャネルも運営しており、知名度の高い組織から提供される、価値の高いデータリークを販売していると思われる。Cyfirma によると、最近の ARES は、軍事情報に関するアクセスやデータベースを得るための取り組みを開始し、サイバー犯罪プラットフォーム上の広告を通じて、その方面への関心を積極的にアプールしているとのことだ。
リークベース
ARES 脅威グループがサポートするプロジェクトには、2023年初頭に立ち上げられた LeakBase もある。Breached ハッカーフォーラムの閉鎖された後の、積極的なプロモーションにより、多数のユーザーを獲得している。
LeakBase は、クリア Web 上でホストされるマーケットプレイスであり、誰もが無料で参加できるデータベースを提供している。そこでは、エスクロー決済システムを介して、リーク/リード/エクスプロイトなどが販売されている。
また、このフォーラムでは、opsec のガイドと議論のためのスペースも提供され、プログラミング/ハッキング/チュートリアル/ソーシャルエンジニアリング/ペネトレーション/暗号化/匿名性などについてスキルアップが可能とされる。
現時点における LeakBase は、Breach とは程遠い存在であるが、その評判は高まっているようだ。したがって、サイバー犯罪者向けの情報やサービスの、重要な拠点となる可能性がある。
ARES は、すべての主要なサイバー犯罪の利益をカバーするために、事業とサービスを拡大し続ける、適切に組織化された脅威グループであるようだ。Breached の閉鎖をチャンスとして捉える ARES が、その成長を加速させ、サイバー犯罪市場における地位を確立しようとしていると、Cyfirma は捉えているようだ。
LeakBase はダークウェブではないとされていますが、そのアクティビティは、完全にダークサイドのものですね。最近の、この界隈の動きとしては、2023/04/05 の「STYX というダークウェブが登場:金融詐欺に特化してサイバー犯罪者の支持を集める」と、2023/04/06 の 「Genesis のテイクダウン:Operation Cookie Monster が老舗のダークウェブを追い詰めた」があります。よろしければ、Dark Web で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.