El servicio de proxy 911 explota después de que se detectó una brecha – Krebs on Security

Servicio 911 tal como existió hasta el 28 de julio de 2022.

911[.]re, el servicio de agente que ha vendido desde 2015 acceso a cientos de miles de Microsoft Windows Computer Daily, anunció esta semana que cerrará a raíz de una violación de datos que devastó componentes clave de sus operaciones comerciales. El cierre repentino se produce diez días después de que KrebsOnSecurity publicara una mirada en profundidad al 911 y sus conexiones con programas afiliados de pago por instalación que secretamente combinaban programas proxy del 911 con otras direcciones, incluidas utilidades “gratuitas” y software pirateado.

911[.]repetir El Era una de las redes originales de “proxy residencial”, que permitía a alguien alquilar una dirección IP residencial para usarla como retransmisión para sus comunicaciones de Internet, brindando anonimato y la ventaja de ser visto como un usuario residencial navegando por la web.

Los servicios de proxy residencial a menudo se comercializan para personas que buscan la capacidad de evadir las prohibiciones específicas de cada país por parte de los proveedores de transmisión de películas y los principales medios de comunicación. Pero algunos, como el 911, construyen sus redes en parte ofreciendo servicios de “VPN gratis” o “proxy gratis” que funcionan con un software que convierte la computadora de un usuario en un retransmisor de tráfico para otros usuarios. En este escenario, los usuarios ya obtienen un servicio VPN gratuito, pero a menudo no se dan cuenta de que hacerlo convertirá su computadora en un proxy que permite que otros usen su dirección de Internet para realizar transacciones en línea.

Desde la perspectiva del sitio web, parece que el tráfico IP del usuario de la red proxy residencial se origina en la dirección IP residencial alquilada, y no en el cliente del servicio proxy. Estos servicios se pueden usar legítimamente para varios fines comerciales, como comparaciones de precios o información de ventas, pero se usan de manera indebida para enmascarar la actividad del delito cibernético porque pueden dificultar el rastreo del tráfico malicioso hasta su fuente original.

Como se mencionó en la historia de KrebsOnSecurity del 19 de julio en 911, el servicio proxy ejecutó varios esquemas de pago por instalación que llevaron a los afiliados a agrupar subrepticiamente el programa proxy con otros programas, creando constantemente un flujo constante de nuevos agentes para el servicio.

Actualización flash en caché[.]net alrededor de 2016, lo que muestra que la página de inicio de un programa afiliado de pago para instalar estimuló la instalación silenciosa del agente 911.

A las pocas horas de esa historia, el 911 publicó un aviso en la parte superior de su sitio, que decía: “Estamos revisando nuestra red y agregando una serie de medidas de seguridad para evitar el uso indebido de nuestros servicios. La recarga de proxy se cerró y el registro de nuevos usuarios está listo”. cerrado. Revisamos a todos los usuarios existentes para asegurarnos de que su uso sea legítimo y [in] Cumplimiento de los Términos de Servicio.

En este anuncio, se desató el caos en varios foros de delitos cibernéticos, con muchos clientes antiguos del 911 que informaron que no podían usar el servicio. Otros afectados por la interrupción dijeron que parecía que el 911 estaba tratando de implementar algún tipo de regla de “conozca a su cliente”; tal vez el 911 solo estaba tratando de eliminar a los clientes que usan el servicio para grandes volúmenes de actividad delictiva cibernética.

Luego, el 28 de julio, el sitio web del 911 comenzó a redirigir a un aviso que decía: “Lamentamos informarle que cerramos permanentemente el 911 y todos sus servicios el 28 de julio”.

Según el 911, el servicio fue pirateado a principios de julio y se descubrió que alguien había manipulado los saldos de una gran cantidad de cuentas de usuarios. El 911 dijo que los piratas informáticos hicieron un mal uso de una API que maneja las cuentas sobrecargadas cuando los usuarios depositan dinero en el servicio.

El mensaje del 911 dice: “No estoy seguro de cómo entró el hacker”. “Por lo tanto, cerramos urgentemente el sistema de recarga, registramos un nuevo usuario y lanzamos una investigación”.

Un mensaje de despedida del 911 para sus usuarios, publicado en la página de inicio el 28 de julio de 2022.

El 911 dijo que aunque los piratas informáticos ingresaron, también pudieron sobrescribir el 911 crítico[.]Restaure servidores, datos y copias de seguridad de esos datos.

El comunicado continúa: “El 28 de julio, una gran cantidad de usuarios informaron que no podían iniciar sesión en el sistema”. “Descubrimos que el pirata informático dañó maliciosamente los datos en el servidor, lo que resultó en la pérdida de datos y copias de seguridad. Es [sic] Confirmó que el sistema de recarga también fue pirateado de la misma manera. Tuvimos que tomar esta difícil decisión debido a la pérdida de datos importantes que hicieron que el servicio fuera irrecuperable”.

Operado en gran medida fuera de China, el 911 ha sido un servicio muy popular en muchos foros de delitos cibernéticos y se ha convertido en una especie de infraestructura crítica para esta comunidad después de dos competidores del 911 desde hace mucho tiempo: los servicios de proxy basados ​​en malware. VIP72 Y el luxcalcetines – Cerraron sus puertas el año pasado.

Ahora, muchos foros sobre delincuencia que han confiado en el 911 para sus operaciones se preguntan en voz alta si existen alternativas acordes con la escala y la utilidad que ofrece el 911. El consenso parece ser un rotundo “no”.

Creo que pronto aprenderemos más sobre los incidentes de seguridad que causaron la explosión del 911. Tal vez surjan otros servicios de proxy para satisfacer lo que parece ser una creciente demanda de tales servicios en este momento, con una oferta relativamente pequeña.

Mientras tanto, la ausencia del 911 podría coincidir con un retraso medible (aunque solo de corta duración) en el tráfico no deseado a los principales destinos de Internet, incluidos bancos, minoristas y plataformas de criptomonedas, ya que muchos ex agentes del servicio proxy se apresuran a hacer arreglos. .

Riley KilmerLa red 911 será difícil de replicar a corto plazo, dijo el cofundador del servicio de seguimiento de proxy Spur.us.

“Mi conjetura [911’s remaining competitors] Obtendrá mucho apoyo en el corto plazo, pero eventualmente llegará un nuevo jugador “, dijo Kilmer. “Ninguno de estos son buenas alternativas a LuxSocks o 911. Sin embargo, todos permitirán que cualquiera los use. En cuanto a las tasas de estafa, los intentos continuarán, pero con estos servicios de reemplazo que deberían ser más fáciles de monitorear y detener. 911 tiene algunas direcciones IP muy limpias. “

911 no fue el único proveedor de proxy importante que reveló el hackeo de esta semana relacionado con API no autenticadas: el 28 de julio, KrebsOnSecurity informó que las API web internas expuestas se habían filtrado de la base de datos de clientes de Microleaves, un servicio de proxy que rota direcciones IP para sus clientes cada cinco a diez minutos. Esta investigación mostró que Microleaves, como el 911, tenía un largo historial de uso de esquemas de pago por instalación para difundir su software proxy.

Leave a Reply

Your email address will not be published.