Tiendas en la Dark Web están perdiendo direcciones IP

Escrito por Javier Jiménez

El derribo de tres mercados importantes de Dark Web por parte de las autoridades durante el verano ha llevado a muchos vendedores de productos ilegales a establecer sus propias tiendas que, en muchos casos, no están configuradas correctamente y están filtrando la dirección IP del servidor al que corresponden. En el caso de la Dark Web, filtrar la dirección IP del mundo real significa que las fuerzas de seguridad pueden entrar, capturar el servidor y posiblemente rastrear al dueño de la tienda ilegal y gran parte de su clientela.

Tiendas en la Dark Web

En los últimos dos meses, un investigador de seguridad, en particular, ha sido bastante eficiente al encontrar tiendas Dark Web infectadas con actividades delictivas que también están filtrando sus direcciones IP reales.

Conectándose con el seudónimo de Sh1ttyKids, la última víctima del investigador es una tienda de venta de cannabis llamada ElHerbolario, que rastreó hasta dos direcciones IP holandesas (188.209.52.177 y 185.61.138.73) que estaban siendo utilizadas por BlazingFast, una conocido empresa de alojamiento a prueba de balas que opera fuera de Ucrania.

Con la información que el investigador hizo pública, las autoridades holandesas pueden apoderarse físicamente del servidor del centro de datos donde se está ejecutando esa máquina en particular, y analizar sus datos, rastrear clientes y compartir información con otras agencias policiales de todo el mundo.

Dos semanas antes de rastrear ElHerbolario, a finales de octubre, el investigador descubrió una fuga de IP para la comunidad italiana Darknet (IDC), un foro de piratería para usuarios de habla italiana.

Según el investigador, esa dirección IP (176.123.10.203) llevó a un servidor web en Moldavia, del cual el investigador dijo que había dado parte a las autoridades.

Otro portal

Otro caso que Sh1ttyKids rastreó es un portal Dark Web llamado “DrugStore by Stoned100“, un sitio que vendía una gran colección de productos ilegales como anfetaminas, éxtasis, hash, MDMA, sildenafil, hierba e incluso ransomware.

El sitio estaba ejecutando una instalación de WordPress, filtró su IP e incluso expuso archivos de respaldo de la base de datos, lo que permite el acceso a copias de su base de datos con un solo clic.

La evaluación del investigador es desconcertante si tenemos en cuenta que hay docenas de scripts de configuración de servidores automatizados que pueden instalar un servidor web para el uso basado en Tor, scripts automatizados que eliminan información que puede conducir a filtraciones de IP.

En todos los casos, el investigador usó pequeños detalles, como la huella dactilar SSH no protegida de un sitio, para rastrear el servidor del mundo real y su dirección IP utilizando motores de búsqueda como Shodan o Censys.

La técnica de Sh1ttyKids es simple y es fácil de defender por un administrador de servidor web experimentado. El problema es que ninguna de las personas que ejecutan estos portales de Dark Web recién configurados (y con fuga de IP) es un “administrador experimentado del servidor web”.

La mayoría son antiguos vendedores que vendieron servicios como AlphaBay, Hansa o RAMP, todos retirados en julio de 2017 por las autoridades estadounidenses, holandesas y rusas, respectivamente.

Esos tres portales estaban a cargo de programadores experimentados que proporcionaban una interfaz de apuntar y hacer clic para que los vendedores configuraran perfiles de comerciantes y vendieran sus productos ilegales.

Fuente > Bleeping Computer

Últimos análisis

Valoración RZ
9
Valoración RZ
6
Valoración RZ
8
Valoración RZ
10
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10