Serviço de proxy 911 implode após revelar violação – Krebs on Security

O serviço 911 como existia até 28 de julho de 2022.

911[.]re, um serviço de proxy que desde 2015 vendeu acesso a centenas de milhares de Microsoft Windows computadores diariamente, anunciou esta semana que será encerrada após uma violação de dados que destruiu os principais componentes de suas operações comerciais. O desligamento abrupto ocorre dez dias depois que o KrebsOnSecurity publicou uma análise detalhada do 911 e suas conexões com programas afiliados de pagamento por instalação obscuros que secretamente agrupavam o software proxy 911 com outros títulos, incluindo utilitários “gratuitos” e software pirata.

911[.]ré isso é foi uma das redes originais de “proxy residencial”, permitindo que alguém alugasse um endereço IP residencial para usar como retransmissor para suas comunicações na Internet, proporcionando anonimato e a vantagem de ser percebido como um usuário residencial navegando na web.

Os serviços de proxy residencial geralmente são comercializados para pessoas que procuram a capacidade de contornar o bloqueio específico do país pelos principais provedores de streaming de filmes e mídia. Mas alguns deles, como o 911, constroem suas redes em parte oferecendo serviços de “VPN grátis” ou “proxy gratuito” que executam software que transforma o PC de um usuário em um retransmissor de tráfego para outros usuários. Nesse cenário, os usuários podem realmente usar um serviço VPN gratuito, mas muitas vezes não sabem que isso transformará seu computador em um proxy que permite que outras pessoas usem seu endereço de Internet para transações online.

Do ponto de vista do site, o tráfego IP de um usuário de rede proxy residencial parece se originar do endereço IP residencial alugado, não do cliente do serviço proxy. Esses serviços podem ser usados ​​legitimamente para vários fins comerciais, como comparações de preços ou inteligência de vendas, mas são amplamente utilizados para ocultar atividades de crimes cibernéticos, pois podem dificultar o rastreamento de tráfego malicioso de volta à sua fonte original.

Conforme observado em KrebsOnSecurity história de 19 de julho em 911O serviço de proxy operava vários esquemas de pagamento por instalação que pagavam aos afiliados para agrupar clandestinamente o software de proxy com outro software, gerando continuamente um fluxo constante de novos proxies para o serviço.

Uma cópia em cache do flashupdate[.]net por volta de 2016, mostrando que era a página inicial de um programa de afiliados pay-per-install que incentivava a instalação silenciosa do software de proxy 911.

Poucas horas depois dessa história, o 911 postou um aviso no topo de seu site que dizia: “Estamos revisando nossa rede e adicionando uma série de medidas de segurança para evitar o uso indevido de nossos serviços. A recarga de saldo de proxy e o registro de novos usuários estão encerrados. Estamos revisando todos os usuários existentes para garantir que seu uso seja legítimo e [in] conformidade com nossos Termos de Serviço.”

Neste anúncio, o inferno começou em vários fóruns de crimes cibernéticos, com muitos ex-clientes do 911 relatando que não conseguiam usar o serviço. Outros afetados pela interrupção disseram que parecia que o 911 estava tentando implementar algum tipo de regra “conheça seu cliente”, que talvez o 911 estivesse apenas tentando eliminar os clientes que usam o serviço para grandes volumes de atividades criminosas.

Então, em 28 de julho, o site do 911 começou a redirecionar para um aviso que dizia: “Lamentamos informar que estamos fechando permanentemente o 911 e todos os seus serviços em 28 de julho”.

De acordo com o 911, o serviço foi invadido no início de julho e foi descoberto que alguém adulterou os saldos de um grande número de contas de usuários. O 911 disse que os invasores abusaram de uma interface de programação de aplicativos (API) que lida com o carregamento de contas quando os usuários fazem depósitos financeiros com o serviço.

“Não tenho certeza de como o hacker entrou”, diz a mensagem do 911. “Portanto, fechamos urgentemente o sistema de recarga, o registro de novos usuários e uma investigação foi iniciada”.

A mensagem de despedida do 911 para seus usuários, postada na página inicial em 28 de julho de 2022.

No entanto, os intrusos invadiram, disse o 911, conseguiram substituir o 911 crítico também[.]re servidores, dados e backups desses dados.

“Em 28 de julho, um grande número de usuários relatou que não conseguia fazer login no sistema”, continua o comunicado. “Descobrimos que o hacker danificou maliciosamente os dados no servidor, resultando em perda de dados e backups. Seus [sic] confirmou que o sistema de recarga também foi hackeado da mesma maneira. Fomos forçados a tomar essa difícil decisão devido à perda de dados importantes que tornaram o serviço irrecuperável.”

Operado em grande parte fora da China, o 911 era um serviço extremamente popular em muitos fóruns de crimes cibernéticos, tornando-se uma infraestrutura crítica para essa comunidade depois de dois dos concorrentes de longa data do 911: serviços de crimes cibernéticos. proxies baseados em malware. VIP72 S meias de luxoeles fecharam as portas no ano passado.

Agora, muitos em fóruns de crime que confiaram no 911 para suas operações estão se perguntando em voz alta se existe uma alternativa que corresponda à escala e à utilidade que o 911 oferece. O consenso parece ser um retumbante “não”.

Acho que em breve saberemos mais sobre os incidentes de segurança que causaram a implosão do 911. E talvez outros serviços de proxy surjam para atender ao que parece ser uma demanda crescente por esses serviços no momento, com uma oferta comparativamente pequena.

Enquanto isso, a ausência do 911 pode coincidir com um alívio mensurável (embora de curta duração) no tráfego indesejado para os principais destinos da Internet, incluindo bancos, varejistas e plataformas de criptomoedas, já que muitos ex-clientes do serviço de proxy correm para fazer arranjos alternativos.

Riley Kilmercofundador do serviço de rastreamento de proxy Spur.usEle disse que a rede 911 será difícil de replicar em breve.

“Minha especulação é [911’s remaining competitors] eles vão ter um grande impulso no curto prazo, mas eventualmente um novo jogador aparecerá”, disse Kilmer. “Nenhum deles é um bom substituto para LuxSocks ou 911s. Todos eles permitem que qualquer um os use. Para taxas de fraude, as tentativas continuarão, mas por meio desses serviços de substituição, que devem ser mais fáceis de monitorar e interromper. 911 tinha alguns endereços IP muito limpos.”

O 911 não foi o único grande provedor de proxy a divulgar uma violação nesta semana relacionada a APIs não autenticadas: em 28 de julho, KrebsOnSecurity informou que APIs internas expostas à web vazaram o banco de dados de clientes Microleaves, um serviço de proxy que alterna os endereços IP de seus clientes a cada cinco a dez minutos. Essa investigação mostrou que o Microleaves, como o 911, tinha um longo histórico de uso de esquemas de pagamento por instalação para espalhar seu software de proxy.

You May Also Like

About the Author: Gabriela Cerqueira

"Solucionador de problemas do mal. Amante da música. Especialista certificado em cultura pop. Organizador. Guru do álcool. Fanático por café."

Deixe um comentário

O seu endereço de e-mail não será publicado.