Pelaku ancaman semakin mengubah koleksi kredensial yang berasal dari pencuri informasi menjadi layanan bawah tanah yang dapat dicari, sehingga pembeli dapat meminta kredensial untuk perusahaan, platform, domain, geografi, atau jenis akun tertentu.
Suar peneliti menganalisis 470 postingan forum bawah tanah yang diterbitkan antara Januari 2025 dan Juni 2026, dari berbagai sumber, terkait dengan aktor yang menawarkan untuk mencari dan mengekstrak kredensial curian dari database mereka. Kumpulan data tersebut mencakup iklan, postingan ulang, masukan pembeli, referensi harga, dan perselisihan seputar kualitas dan validitas.
Temuan menunjukkan lapisan layanan khusus berada di antara keduanya pencuri informasi infeksi, perdagangan log mentah, dan aktivitas pengambilalihan akun. Profil pelaku ancaman yang menawarkan layanan ini terbagi antara penyedia Malware-as-a-Service (MaaS) dan konsumen MaaS.
Dalam banyak kasus, mereka berfungsi sebagai pialang kredensial atau pemroses data, yang memonetisasi sejumlah besar log dan kemampuan mereka untuk mencari, memfilter, memformat, dan memberikan hasil yang ditargetkan dari kumpulan besar kredensial yang dicuri.
Poin Penting
-
Analisis terhadap 470 pos bawah tanah menggambarkan layanan tepat yang menawarkan ekstraksi, pemfilteran, deduplikasi, pemformatan, dan kesegaran yang ditargetkan, dari database infostealer besar yang berisi puluhan miliar baris. Ini berfungsi sebagai alternatif dari daftar kombo, di mana alih-alih membeli dump massal, pembeli menanyakan data penjual yang ada dan hanya menerima hasil yang sesuai dengan target mereka.
-
Pasar ini tumpang tindih dengan ekosistem Initial Access Broker (IAB), namun tidak identik dengan ekosistem tersebut, ketika format output yang umum mencakup URL:LOGIN:PASS, MAIL:PASS, LOGIN:PASS, PHONE:PASS, MAIL:PHONE, dan MAIL:LOGIN.
-
Menariknya, umpan balik pembeli menunjukkan adanya kesenjangan antara apa yang diiklankan dan hasil sebenarnya karena kenyataannya volumenya lebih rendah, kredensial sering kali tidak valid, terduplikasi, dan umumnya dapat digunakan.
Bagaimana Cara Kerja Layanan “Cari Target Anda”.
Pasar “cari target Anda” berada di tengah rantai pengambilalihan akun.
Pertama, pencuri info menginfeksi perangkat dan mengumpulkan kredensial, cookie, data isi otomatis, dan artefak browser. Kemudian log dikumpulkan dan dimasukkan ke dalam cloud pribadi, database ULP, dump publik, atau koleksi berbasis pertukaran. Selanjutnya, pelaku ancaman “layanan pencarian” mengekstrak baris berdasarkan permintaan pembeli. Pembeli kemudian memvalidasi kredensial dan menggunakannya untuk pengambilalihan akun, penipuan, spam, phishing, pencurian kripto, atau intrusi perusahaan.
Artinya, penjual dalam kumpulan data ini sering kali bukan merupakan langkah pertama atau terakhir. Mereka adalah lapisan pemrosesan yang mengubah informasi kredensial yang dicuri menjadi materi serangan yang ditargetkan.
Dari perspektif kerangka intelijen ancaman, model layanan ini mewakili contoh praktis T1589.001 (Mengumpulkan Informasi Identitas Korban: Kredensial), di mana musuh secara aktif meneliti dan memperoleh kredensial sebelum eksploitasi, dan berpotensi T1650 (Acquire Access), mengingat beberapa penjual memberikan hasil yang tidak dapat dibedakan dari penyediaan akses langsung.
Ekonomi Pasar “Cari Target Anda”.
Sama seperti di pasar DDoS, di mana pembeli mengirimkan domain dan penyedia layanan menyerangnya, layanan tersebut diduplikasi dan menawarkan saluran yang sama.
-
Seorang pembeli mengirimkan target
-
Penjual mengembalikan kredensial yang cocok
Target tersebut dapat berupa domain perusahaan, URL login, situs ecommerce, platform game, aplikasi, pasar geografis, atau daftar email. Outputnya biasanya dikirimkan dalam format seperti URL:LOGIN, URL:LOG, MAIL, LOGIN, PHONE, atau kombinasi lainnya tergantung permintaan.
Beberapa penjual bawah tanah menetapkan ukuran database mereka sebagai nilai jual. Salah satu aktor mengiklankan database “ULP 5kkk+ baris” (5.000.000.000), akses cepat dalam 10–15 menit, pembaruan harian, dan sumber yang diduga mencakup log pribadi, cloud pribadi, aliran pribadi, dan data publik. Aktor lain mempromosikan baris 10kkk+, 1TB+ URL:log database, sementara aktor lain mengklaim akses ke koleksi mulai dari ratusan juta hingga puluhan miliar catatan.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.
Ukuran database bukan satu-satunya nilai jual. Pelaku ancaman juga menunjukkan kemampuan lain, sebagai bagian dari promosi penjualan mereka. Penjual juga mengiklankan kemampuan pencarian, kesegaran, format, dan relevansinya.
Beberapa menawarkan ekstraksi domain sederhana, sementara yang lain menawarkan layanan yang lebih disesuaikan, seperti mengekstrak akun email untuk toko, situs web, aplikasi, atau game yang diminta. Secara de facto, penyerang mengiklankan kemampuan teknis mereka dalam mengindeks data di dalam database, memperbarui dan memungkinkan pencarian cepat dan nyaman di dalamnya.
Misalnya, salah satu penjual mengiklankan bahwa pelanggan dapat mengajukan permintaan hanya dengan $20 per permintaan, dan menambahkan pembayaran tambahan berdasarkan hasil yang dikembalikan.
Kumpulan data tersebut juga menunjukkan bentuk pengayaan kredensial yang lebih canggih. Salah satu aktor mengklaim akses ke koleksi email, kata sandi, login, telepon, dan URL:Login yang terpisah, dan menjelaskan bagaimana catatan tersebut dapat digabungkan.
Misalnya, pembeli yang hanya memiliki daftar email dapat meminta pasangan login yang cocok, atau pembeli yang mencari geografi tertentu dapat menerima hasil yang dibuat dari kode negara, domain, URL, kota, dan pola kata sandi.
Hal ini semakin menunjukkan bahwa pelaku ancaman menggunakan praktik terbaik data (misalnya pelabelan, pemotongan), seperti halnya bisnis biasa yang sah di seluruh dunia.
Masukan Pelanggan Menunjukkan Kesenjangan Antara Iklan dan Kenyataan
Umpan balik pelanggan menunjukkan bahwa penjual terlalu menjanjikan dan kurang memberikan hasil. Mereka mengklaim bahwa beberapa penjual tidak kredibel. Beberapa orang mengklaim bahwa kredensialnya tidak valid, dan penjual menjawab bahwa mereka tidak pernah memeriksa apakah kredensialnya valid. Beberapa orang mengatakan bahwa ini adalah data yang sama yang muncul dalam daftar kombo besar yang diterbitkan secara gratis di bawah tanah.
Yang lain mengklaim bahwa database ini mengandung banyak duplikasi (bahkan ada yang mengklaim bahwa dari 3.000 catatan, hanya 200 yang unik).
Meskipun konsep daftar kombo besar atau file kredensial gabungan bukanlah hal baru. Layanan ini masih merupakan sesuatu yang unik yang pada akhirnya, jika dioperasikan dengan benar, dapat membahayakan banyak bisnis dan organisasi.
Dikembangkan Bersamaan dengan Pasar Infostealer
Selama beberapa tahun terakhir, kelompok pencuri informasi dan pasar log menghasilkan sejumlah besar catatan yang mencakup kredensial yang disimpan di browser, cookie, data isi otomatis, dan informasi perangkat. Koleksi-koleksi ini terus berkembang dan menciptakan tantangan bagi pembeli untuk memilahnya demi mendapatkan keuntungan.
Operasi untuk lebih mudah mengekstraksi nilai merupakan peluang komersialisasi. Oleh karena itu, pembeli yang biasanya memiliki tujuan tertentu dapat menghemat waktu dan uang dengan layanan ini.
Perbandingan Antara Pasar “Cari Target Anda” dan Pasar IAB
Pasar “telusuri target Anda” sering kali dikaitkan dengan penelusuran umum untuk email, bisnis, atau orang, validitas dan “kesegaran” akses tidak dijamin, dan pada dasarnya Anda membayar untuk penelusuran, penemuan, dan hasil. Pasar ini sebagian tumpang tindih dengan pasar broker akses awal (IAB).
Ketika pembeli mencari akses ke VPN perusahaan, platform SaaS, akun email, lingkungan cloud, panel admin, atau sistem akses jarak jauh, hasilnya bisa menjadi akses awal jika pasar ini tumpang tindih.
Namun demikian, pasar IAB seringkali lebih mahal, bergengsi, dan berfungsi sebagai “layanan sarung tangan putih” ketika mereka menjual akses tervalidasi, yang sering kali dapat melewati MFA, dan pada akhirnya masuk ke dalam suatu organisasi.
Apa yang Harus Dipelajari Pembela HAM
Pasar “cari target Anda” menunjukkan bahwa penyerang tidak perlu lagi memproses dump besar secara manual untuk menemukan hal yang penting. Mereka dapat melakukan outsourcing pekerjaan tersebut kepada penjual yang berspesialisasi dalam mengubah kumpulan kredensial yang berisik menjadi daftar target yang terfokus. Bagi para pembela HAM, tantangannya adalah mengidentifikasi dan menutup jalur-jalur yang terbuka tersebut sebelum pembeli memberikan akses kepada jalur tersebut.
Suar membantu dengan memberikan visibilitas kepada tim keamanan ke dalam pasar bawah tanah ini dan dengan memantau kredensial karyawan yang terekspos, domain perusahaan, portal masuk, aplikasi SaaS, dan indikator terkait di seluruh sumber web yang dalam dan gelap.
Hal ini memungkinkan organisasi untuk mendeteksi kapan titik akses mereka muncul dalam koleksi kredensial atau iklan layanan pencarian, memprioritaskan paparan yang paling relevan, dan merespons lebih cepat dengan pengaturan ulang kata sandi, pencabutan sesi, penegakan MFA, dan penyelidikan kemungkinan penyalahgunaan akun.
Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.
Disponsori dan ditulis oleh Suar.
