31000 个 Libero 和 Virgilio 帐户以 1200 美元的价格出售

在Libero 和 Virgilio 的电子邮件攻击开始后，我们在 25/01 发布的 Telegram 频道上报道了很多关于组合列表的讨论。

但是分析包含 ItaliaOnline 域的地下组合列表，在事件开始后，我们发现了 4 个，它们是：

适合意大利的 500K UHQ COMBOLIST (libero.it).txt

73k 意大利 [ …. 组合…… ].txt

30k libero.txt

在公布的账号/密码层面，可以自由下载的账号/密码报告如下：

2023 年 1 月 28 日，另一个 Telegram 频道发布了以 1,200 美元的价格出售 31,100 个 Libero 和 Virgilio 账户的消息。

01 月 28 日 18:47 在 Telegram 频道上发布了 31,100 个 Virgilio 和 Libero 帐户的组合

但让我们按顺序进行，因为这些数据发布并没有表明 ItaliaOnline 违反了 IT 安全，而是网络用户缺乏风险意识。

在这篇文章中，我们将解释这些数据的来源、僵尸网络的工作原理，以及为什么地下市场对这些信息如此关注。

什么是组合列表

它们被称为组合列表，是包含用户电子邮件和密码对的信息集合，但这些文件可以通过多种方式构建。

最流行的方法有以下三种：

1. 通过操纵过去的数据泄露进行重建；

2. 通过使用僵尸网络获取。

3. 从特定系统中泄露数据；

这些组合列表不断在地下发布，因为它们在许多类型的攻击中都很有用。它们通常用于各种网络钓鱼和欺诈攻击，但也用于密码重用攻击，即试图使用旧密码访问同一个人的其他帐户。

正如我们常说的那样，网络上公开的每一个数据都构成了拼图中的一小块，有助于建立一个人的数字身份。单独一块拼图并不能让我们识别最终图像，但多块拼图可以帮助我们理解代表的是哪个图形，即使拼图还没有完全完成。

因此，任何倾入地下的个人数据将永远丢失，即使不是最新的，也将允许通过相关活动重新创建特定个人的更清晰图像。

俄罗斯某知名地下论坛的组合销售

因此，每一次数据泄露或数据丢失对每个人来说都是一个问题。有了这些信息，就可以对用户进行分析，从而进行针对性强的远程信息处理欺诈和社会工程活动。

由于这些原因，combolists 经常被发布，即使是旧的，正是因为它们可以被重新用于各种形式的网络犯罪。

从特定系统中泄露数据

所谓数据“渗漏”，是指计算机攻击一旦在受感染的系统上获得持久性，便设法获取一系列信息并将其从所属网络中带走。

最有用的信息（在经典攻击和勒索软件攻击中）通常是用户的访问数据，在组织的情况下，这些数据通常与其客户一致。

一旦您访问了系统数据库，此模式允许您获取有关这些用户的大量信息（通常比用户/密码对大得多的表）。

随后，该信息被清除掉不必要的信息，并创建一个组合列表，其中仅保留邮箱和相关密码。

通过操纵过去的数据泄露进行重建

组合列表也可以是合并多个组合列表或重复使用从过去的数据泄露中净化的信息的结果。

许多数据销售通常发生在信息相关之后，因此也发生在通过网络抓取活动从社交网络或其他来源获取的个人数据之后。

因此，通过从系统中泄露数据获得的纯信息并不容易，尤其是在地下 Telegram 市场中。相反，在被重新投放到黑市之前，很容易发现作为数据分析工作结果的操纵信息。

通过使用僵尸网络获取

僵尸网络是由被称为 僵尸主机的个人控制的感染恶意软件的计算机网络。僵尸大师是管理僵尸网络基础设施的人，它使用受感染的计算机执行各种恶意操作。

然后，受害者的计算机会感染在网络上传播的不同恶意软件，从而使他们成为受感染计算机网络的一部分。受害者可以通过不同的方式获取恶意软件，从网络钓鱼电子邮件到安装盗版软件。

例如，在著名的 Keygens 中，通常会隐藏恶意软件，让您可以感染您的计算机，使它们成为僵尸网络的一部分。

在受感染的计算机上运行的恶意软件、恶意软件（通常是信息窃取程序或特洛伊木马）可以做很多事情，例如：

1. 记录用户键入的所有击键；

2. 将打印屏幕发送到中央服务器；

3. 窃取访问代码以进行银行交易；

4. 窃取加密钱包的访问代码。

在 Genesis 市场上出售最近的僵尸网络简要

简而言之，通过僵尸网络，可以不断地从受害者那里窃取总是新鲜的有价值的信息，然后在地下市场上使用或转售。

地下市场

一旦获得了这些有价值的信息，网络犯罪分子（或僵尸网络中的机器人大师）可以通过多种方式转售它。通过犯罪论坛（例如 Breach 论坛、Cracked 或 XSS），或通过更成熟的市场，使这种特定的工作成为一种商业模式。

它甚至可以通过可集成到网络威胁情报系统中的 API 为最大和最知名的僵尸网络销售其提要。以这种方式服务于灰色市场（针对白色和黑色）。

有许多在线市场出售这些提要（甚至日志），例如出售僵尸网络提要（例如著名的红线）的著名 Genesis，或者更面向访问的市场，例如 Leakbase 或 Xmina。对初始访问代理 (IaB) 很有用。

去年 12 月在 Brach 论坛上转售了 260,000 个免费帐户

Initial Access 经纪人是犯罪分子，他们从另一个网络犯罪分子那里购买特定组织的系统缺陷，并利用它们实施犯罪。

著名网络威胁情报系统中 Libero 帐户的示例

正如我们所见，网络犯罪世界利用每一条对其有利的新闻，以获得经济优势。在这种情况下，使用 Libero 和 Virgilio 的损害主题使得以高价转售数年历史的帐户成为可能，这些帐户可能是从僵尸网络源中获取的，或者是从过去的组合者或数据泄露中重建的。

当用户使用这些凭据注册时，密码为 topolino01 的电子邮件 [email protected] 也可能是从电子商务网站获取的。

地下市场的游览不是那么简单易懂，因为主题复杂多样。有许多方面需要理解，这就是为什么您必须始终格外小心并准确理解您正在分析的数据的原因。

组合在地下市场不断发布，但这并不意味着如果它是特定域的集合，则意味着该域遭受了网络攻击。

在 Libero 和 Virgilio 的案例中，地下报告的数据是事故发生前收集的结果，这些数据是根据特定的僵尸网络源巧妙地创建的，这些源已经在用户的计算机上运行了一段时间。

不用说，电子邮件帐户的最佳保护是多因素身份验证 (MFA)，因为即使帐户和密码对被破坏，第三个身份验证因素也将更难提取，至少在攻击中是这样的标准水平。