Se ha detectado un nuevo mercado llamado Industrial Spy que vende datos robados de empresas violadas, además de ofrecer datos robados gratis a sus miembros.
Si bien los mercados de datos robados no son nuevos, en lugar de extorsionar a las empresas y asustarlas con multas de GDPR, Industrial Spy se promociona a sí mismo como un mercado donde las empresas pueden comprar los datos de sus competidores para obtener acceso a secretos comerciales, diagramas de fabricación, informes contables y bases de datos de clientes.
Sin embargo, no sería sorprendente que el mercado se utilice para extorsionar a las víctimas para que compren sus datos y evitar que se vendan a otros actores de amenazas.
El mercado de Industrial Spy ofrece diferentes niveles de ofertas de datos, con paquetes de datos robados “premium” que cuestan millones de dólares y datos de nivel inferior que se pueden comprar como archivos individuales por tan solo $2.
Por ejemplo, Industrial Spy actualmente vende los datos de una empresa india en su categoría premium por 1,4 millones de dólares, pagados en bitcoin.
Sin embargo, gran parte de sus datos se venden como archivos individuales, donde los actores de amenazas pueden comprar los archivos específicos que desean por $2 cada uno.
El mercado también ofrece paquetes de datos robados gratuitos, que probablemente atraigan a otros actores de amenazas a usar el sitio.
Se sabe que algunas de las empresas cuyos datos se ofrecen en la categoría “General” sufrieron ataques de ransomware en el pasado.
Por lo tanto, los actores de la amenaza pueden haber descargado estos datos de los sitios de fuga de la banda de ransomware para revenderlos en Industrial Spy.
Promocionado a través de cracks y adware
BleepingComputer se enteró por primera vez del mercado de Industrial Spy del investigador de seguridad MalwareHunterTeam, quien encontró ejecutables de malware [ 1 , 2 ] que crean archivos README.txt para promocionar el sitio.
Cuando se ejecutan, estos archivos de malware crearán los archivos de texto en cada carpeta del dispositivo, que contienen una descripción del servicio y un enlace al sitio Tor.
“Allí puedes comprar o descargar gratis datos privados y comprometedores de tus competidores. Publicamos esquemas, dibujos, tecnologías, secretos políticos y militares, informes contables y bases de datos de clientes”, se lee en el archivo de texto README.txt.
“Todas estas cosas se recopilaron de las empresas, conglomerados y preocupaciones más grandes del mundo con cada actividad. Recopilamos datos utilizando la vulnerabilidad en su infraestructura de TI”.
Luego de una investigación adicional por parte de BleepingComputer, descubrimos que estos ejecutables se distribuyen a través de otros descargadores de malware comúnmente disfrazados de cracks y adware.
Por ejemplo, el ransomware STOP y los troyanos que roban contraseñas, comúnmente distribuidos a través de grietas, se instalan junto con los ejecutables de Industrial Spy.
Además, VirusTotal muestra que los archivos README.txt se encuentran en numerosas colecciones de registros de troyanos que roban contraseñas, lo que indica que ambos programas se ejecutaron en el mismo dispositivo.
Esto indica que los operadores del sitio web de Industrial Spy probablemente se asocien con distribuidores de adware y crack para distribuir el programa que promueve el mercado.
Si bien el sitio no se usa mucho en este momento, las empresas y los investigadores de seguridad deben vigilarlo y los datos que pretende vender.
