Serviço de proxy 911 “implode” após divulgar violação

O 911[.]re, um serviço de proxy que desde 2015 vende acesso a centenas de milhares de computadores Microsoft Windows diariamente, anunciou esta semana que está fechando após uma violação de dados que destruiu os principais componentes de suas operações comerciais.

O fechamento abrupto ocorre dez dias depois que o KrebsOnSecurity publicou uma análise detalhada do 911 e suas conexões com programas afiliados de pagamento por instalação obscuros que secretamente agrupavam o software proxy do 911 com outros títulos, incluindo utilitários “gratuitos” e software pirata.

911[.]reéfoi uma das redes originais de “proxy residencial”, que permite que alguém alugue um endereço IP residencial para usar como retransmissor de suas comunicações na Internet, proporcionando anonimato e a vantagem de ser percebido como um usuário residencial navegando na web.

Os serviços de proxy residencial são frequentemente comercializados para pessoas que buscam a capacidade de evitar o bloqueio específico de um país pelos principais provedores de streaming de filmes e mídia. Mas alguns deles – como o 911 – constroem suas redes em parte oferecendo serviços de “VPN grátis” ou “proxy grátis” que são alimentados por software que transforma o PC do usuário em um retransmissor de tráfego para outros usuários. Nesse cenário, os usuários realmente podem usar um serviço VPN gratuito, mas muitas vezes não sabem que isso transformará seu computador em um proxy que permite que outras pessoas usem seu endereço de Internet para realizar transações online.

Do ponto de vista de um site, o tráfego IP de um usuário de rede proxy residencial parece se originar do endereço IP residencial alugado, não do cliente do serviço proxy. Esses serviços podem ser usados ​​de maneira legítima para diversos fins comerciais – como comparações de preços ou inteligência de vendas – mas são massivamente abusados ​​para ocultar atividades de crimes cibernéticos, pois podem dificultar o rastreamento de tráfego malicioso até sua fonte original.

Conforme observado na reportagem de 19 de julho do KrebsOnSecurity no 911 , o serviço de proxy operava vários esquemas de pagamento por instalação que pagavam aos afiliados para agrupar clandestinamente o software de proxy com outro software, gerando continuamente um fluxo constante de novos proxies para o serviço.

Uma cópia em cache do flashupdate[.]net por volta de 2016, que mostra que era a página inicial de um programa afiliado de pagamento por instalação que incentivava a instalação silenciosa do software proxy do 911.

Poucas horas depois dessa história, o 911 postou um aviso no topo de seu site, dizendo: “Estamos revisando nossa rede e adicionando uma série de medidas de segurança para evitar o uso indevido de nossos serviços. A recarga de saldo de proxy e o registro de novos usuários estão encerrados. Estamos revisando todos os usuários existentes, para garantir que seu uso seja legítimo e [em] conformidade com nossos Termos de Serviço.”

Com este anúncio, o inferno começou em vários fóruns de crimes cibernéticos, onde muitos clientes de longa data do 911 relataram que não conseguiam usar o serviço. Outros afetados pela interrupção disseram que parecia que o 911 estava tentando implementar algum tipo de regra de “conheça seu cliente” – que talvez o 911 estivesse apenas tentando eliminar os clientes que usam o serviço para altos volumes de atividade cibercriminosa.

Então, em 28 de julho, o site do 911 começou a redirecionar para um aviso dizendo: “Lamentamos informar que encerramos permanentemente o 911 e todos os seus serviços em 28 de julho”.

De acordo com o 911, o serviço foi invadido no início de julho e descobriu-se que alguém manipulou os saldos de um grande número de contas de usuários. O 911 disse que os invasores abusaram de uma interface de programação de aplicativos (API) que lida com a recarga de contas quando os usuários fazem depósitos financeiros no serviço.

“Não tenho certeza de como o hacker entrou”, diz a mensagem do 911. “Portanto, fechamos urgentemente o sistema de recarga, o registro de novos usuários e uma investigação iniciada.”

A mensagem de despedida do 911 para seus usuários, postada na página inicial em 28 de julho de 2022.

No entanto, os invasores entraram, disse o 911, eles também conseguiram sobrescrever servidores críticos do 911[.]re, dados e backups desses dados.

“Em 28 de julho, um grande número de usuários relatou que não conseguia fazer login no sistema”, continua o comunicado. “Descobrimos que os dados no servidor foram danificados de forma maliciosa pelo hacker, resultando na perda de dados e backups. Seu [sic] confirmou que o sistema de recarga também foi hackeado da mesma forma. Fomos forçados a tomar essa decisão difícil devido à perda de dados importantes que tornaram o serviço irrecuperável.”

Operado em grande parte fora da China, o 911 era um serviço extremamente popular em muitos fóruns de crimes cibernéticos e tornou-se algo semelhante à infraestrutura crítica para esta comunidade depois que dois dos concorrentes de longa data do 911 – serviços de proxy baseados em malware VIP72 e LuxSocks – fecharam suas portas no passado ano .

Agora, muitos nos fóruns criminais que confiaram no 911 para suas operações estão se perguntando em voz alta se existem alternativas que correspondam à escala e à utilidade que o 911 ofereceu. O consenso parece ser um sonoro “não”.

Suponho que em breve saberemos mais sobre os incidentes de segurança que causaram a implosão do 911. E talvez outros serviços de proxy surjam para atender ao que parece ser uma demanda crescente por esses serviços no momento, com oferta comparativamente pequena.

Enquanto isso, a ausência do 911 pode coincidir com um alívio mensurável (ainda que de curta duração) no tráfego indesejado para os principais destinos da Internet, incluindo bancos, varejistas e plataformas de criptomoedas, já que muitos ex-clientes do serviço de proxy lutam para fazer arranjos alternativos.

Riley Kilmer , cofundador do serviço de rastreamento de proxy Spur.us , disse que a rede do 911 será difícil de replicar no curto prazo.

“Minha especulação é que [os concorrentes restantes do 911] terão um grande impulso no curto prazo, mas um novo jogador acabará por aparecer”, disse Kilmer. “Nenhum deles é um bom substituto para LuxSocks ou 911. No entanto, todos eles permitirão que qualquer pessoa os use. Para taxas de fraude, as tentativas continuarão, mas por meio desses serviços de substituição, que devem ser mais fáceis de monitorar e interromper. 911 tinha alguns endereços IP muito limpos.”

911 não foi o único grande provedor de proxy que divulgou uma violação esta semana ligada a APIs não autenticadas: em 28 de julho, KrebsOnSecurity informou que APIs internas expostas à web vazaram o banco de dados do cliente para Microleaves , um serviço de proxy que gira os endereços IP de seus clientes a cada cinco a dez minutos. Essa investigação mostrou que a Microleaves – como o 911 – tinha um longo histórico de uso de esquemas de pagamento por instalação para espalhar seu software de proxy.

Fonte: https://krebsonsecurity.com/