Greasy Opal: engrasando los patines para el cibercrimen
Descripción general
Por primera vez, la unidad de investigación de amenazas ACTIR de Arkose Labs ha revelado los detalles detrás de un negocio de facilitación de ataques cibernéticos que ha denominado Greasy Opal en función de su investigación de amenazas. taxonomía.
Greasy Opal es una supuesta empresa de facilitación de ataques cibernéticos que vende productos y soluciones a un amplio espectro de clientes, incluidos actores maliciosos y servicios de resolución de CAPTCHA de la competencia. Dada la capacidad de Greasy Opal de crear rápidamente modelos de aprendizaje automático fiables para cada nuevo tipo de desafío CAPTCHA, plantea una amenaza importante en el panorama de la ciberseguridad. Según los registros públicos, Greasy Opal ha estado operando en la República Checa desde 2009.
Greasy Opal no es un atacante en sí, sino una empresa que les proporciona a los atacantes las herramientas con las que pueden lanzar rápidamente ataques masivos dirigidos por bots con el objetivo de causar daño. Greasy Opal, por lo tanto, “engrasa los patines” para el cibercrimen.
ACTIR ha observado que atacantes individuales que utilizan Greasy Opal están lanzando ataques de bots volumétricos de fuerza bruta, intentando penetrar en las cuentas digitales de consumidores genuinos al iniciar sesión y configurar nuevas cuentas falsas.
Greasy Opal y otros facilitadores de ciberataques son catalizadores del continuo aumento de delitos cibernéticos sofisticados a nivel mundial.
“Greasy Opal es una herramienta que permite todo tipo de ataques con distintos grados de malicia, como robo de credenciales, creación masiva de cuentas falsas, spam en redes sociales, etc.”
– Investigador de amenazas de ACTIR
El ópalo grasiento emerge
ACTIR fue el primero en observar que las herramientas Greasy Opal se utilizaban para atacar a los clientes de Arkose Labs. Es una solución de bajo costo y altamente eficiente para los actores maliciosos que buscan eludir las medidas de seguridad de las cuentas de las empresas y agencias gubernamentales mediante la resolución de CAPTCHA dirigida por bots a gran escala. En el apéndice se incluye una lista completa de objetivos de alto riesgo, incluidas instituciones y organizaciones gubernamentales.
Imagen 1: Esta captura de pantalla muestra una lista de fuentes de protección contra bots. Greasy Opal desarrolló su software para resolver los CAPTCHA utilizados por estas fuentes para detectar y detener ataques volumétricos. (Vea una lista más exhaustiva en el apéndice que incluye las agencias gubernamentales a las que Greasy Opal apunta). *FunCaptcha = Arkose Labs.
Surge como una herramienta notablemente fácil, rápida y flexible para el reconocimiento automático de una amplia gama de CAPTCHA.
Greasy Opal posiciona su servicio como un sistema que mejora significativamente la velocidad de reconocimiento (hasta 10 veces más rápido) y, por lo tanto, es un reemplazo para soluciones competitivas de resolución de CAPTCHA como:
- AntiGate (Anti-Captcha)
- RuCaptcha
- Descaptador
Greasy Opal ha creado un conglomerado próspero de empresas multifacéticas que no solo ofrecen servicios de resolución de CAPTCHA, sino también software de mejora de SEO y servicios de automatización de redes sociales que suelen utilizarse para el envío de spam, lo que podría ser un precursor de la distribución de malware. Este grupo de actores de amenazas refleja una tendencia creciente de empresas que operan en una zona gris, mientras que sus productos y servicios se han utilizado para actividades ilegales posteriores.
Greasy Opal ha construido un negocio en torno a ofrecer herramientas que puedan facilitar actividades maliciosas, ya que muchos de sus servicios se basan en atacar otras plataformas y pueden considerarse como un «kit de herramientas del atacante», que permite a los adversarios implementar bots sofisticados y dañinos de manera eficiente y eficaz.
Imagen 2: Esta es una captura de pantalla de la herramienta principal de Greasy Opal que utiliza reconocimiento de imágenes y ML para intentar resolver CAPTCHAs que se han implementado para proteger las cuentas en línea de los consumidores.
Cientos de atacantes individuales están utilizando el software Greasy Opal para crear bots y realizar ataques volumétricos. Por ejemplo, los investigadores de ACTIR observaron que una empresa con sede en Vietnam Tormenta-1152 utilizó Greasy Opal junto con ataques que crearon 750 millones de cuentas falsas de Microsoft.
La Unidad de Delitos Digitales de Microsoft, utilizando inteligencia sobre amenazas de la unidad ACTIR, tomó el control de los dominios de Storm-1152 por primera vez en diciembre de 2023. ACTIR descubrió que Storm-1152 se reconstituyó en enero de 2024 y la unidad trabajó con Microsoft para interrumpir a los actores de amenazas nuevamente a principios de agosto de 2024.
«Si cada usuario del software malicioso de Greasy Opal envía 10 ataques al día, multiplicados por la base de clientes completa del actor de la amenaza, se trata de una superficie de ataque muy grande. Ahora, considere esto: si cada ataque realiza decenas de miles de intentos de inicio de sesión o creación de cuentas, eso representa un impacto potencial masivo en una empresa. Este escenario es con el que se enfrentan las empresas de todo el mundo a diario».
– Investigador de amenazas de ACTIR
Precios
Este tipo de empresas son puertas de entrada al cibercrimen y son muy lucrativas. Operan en una zona gris donde tienen un volumen de clientes, por lo que pueden cobrar un precio más bajo. Al momento de escribir este artículo, los atacantes pueden comprar el kit de herramientas de Greasy Opal por US$70. Por US$100 adicionales, los clientes pueden actualizar para obtener la versión beta. Independientemente de la versión, Greasy Opal requiere que los clientes paguen US$10 adicionales por mes como tarifa de suscripción. También ofrece un paquete que incluye todas sus herramientas, que cuesta US$190 más los US$10 de la suscripción.
Los investigadores de ACTIR estiman que los ingresos de Greasy Opal para 2023 fueron de al menos US$1,7 millones.
información adicional
ACTIR ha observado que Greasy Opal sirve como un conjunto de herramientas importante en el ecosistema más amplio de automatización de navegadores. Cabe destacar que lo utiliza la suite de automatización de navegadores (BAS) de Bablesoft, que es una herramienta que proporciona bases de datos de huellas dactilares (FP) y una interfaz de arrastrar y soltar para crear y lanzar ataques, lo que reduce el nivel de habilidad necesario por parte de los atacantes.
“Cuando Greasy Opal y BAS se utilizan juntos, el nivel de habilidad de los actores maliciosos puede ser bastante bajo para implementar un ataque exitoso”.
– Investigador de amenazas de ACTIR
La participación de ACTIR incluye el seguimiento de estos programas y bases de código, la recopilación de 70.000 huellas dactilares para su evaluación, la prueba contra Greasy Opal para reducir las fugas de información o patrones y la mejora de las defensas CAPTCHA.
ACTIR ha observado que las herramientas de Greasy Opal se utilizan para facilitar distintos grados de ataques, desde benignos hasta graves. Las herramientas de Greasy Opal se están utilizando para atacar a muchas industrias, y el último enfoque se dirige específicamente a:
- Empresas de redes sociales
- Foros (tablones de mensajes)
- Empresas de juegos
- Bancos
- Empresas de la economía gig
Tecnología y características:
Greasy Opal utiliza tecnología avanzada de reconocimiento óptico de caracteres (OCR) junto con sofisticados algoritmos de aprendizaje automático para resolver con gran precisión los CAPTCHA de texto en general y herramientas más específicas para otros CAPTCHA de texto populares específicos. Proporciona software que los atacantes utilizan para eludir las medidas antibots comunes al desarrollar sus bots.
Características principales:
- Tecnología OCR avanzada: Greasy Opal emplea tecnología OCR de última generación para analizar e interpretar eficazmente CAPTCHAs basados en texto, incluso aquellos distorsionados u oscurecidos por ruido, rotación u oclusión.
- Modelos de aprendizaje automático: El servicio desarrolla algoritmos de aprendizaje automático entrenados en amplios conjuntos de datos de imágenes. Este entrenamiento permite el aprendizaje y la adaptación continuos, lo que mejora la capacidad de Greasy Opal para resolver nuevas variaciones de CAPTCHA.
- Etiquetado colaborativo: Un aspecto destacable del funcionamiento de Greasy Opal es el uso de etiquetado colaborativo para entrenar sus modelos de aprendizaje automático. Esto implica la recopilación y anotación humana de una gran cantidad de imágenes, que luego se utilizan para mejorar la precisión de los modelos.
Greasy Opal es conocido por sus actualizaciones periódicas, que mejoran sus modelos de aprendizaje automático y permiten una rápida adaptación a nuevos tipos de CAPTCHA.
Impacto y reducción
ACTIR está eliminando actualmente las herramientas Greasy Opal de muchas maneras, como por ejemplo los nuevos CAPTCHA resistentes a la IA.
El gráfico 1 visualiza un ataque continuo, pero fallido, contra un cliente de Arkose Labs. Ilustra la eficacia de las estrategias de mitigación basadas en IA, como la presentación de desafíos específicos que aumentan en dificultad, contra un gran volumen de tráfico malicioso perpetrado por los clientes de Greasy Opal. A diferencia de los picos repentinos, este ataque presenta un flujo constante, lo que subraya el panorama de amenazas persistentes que enfrentan las empresas en la actualidad.
Monitoreo y análisis
ACTIR está monitoreando activamente Greasy Opal. Estos esfuerzos incluyen la realización de experimentos para comprender cómo funcionan los modelos de aprendizaje automático de Greasy Opal y cómo los está entrenando. ACTIR está buscando debilidades en los modelos de aprendizaje automático de Greasy Opal que se puedan usar para identificar o mitigar cuando se usan estos modelos.
Conclusión
Greasy Opal es un grupo que ofrece a las masas tecnología que puede utilizarse para realizar ciberataques. Su sofisticado uso de OCR e IA, combinado con su enfoque de entrenamiento de modelos mediante etiquetado colaborativo, lo posiciona como una formidable herramienta facilitadora de ciberataques en manos de actores maliciosos.
Si las empresas encuentran su nombre en la lista de la Imagen 1 o en la lista completa del Apéndice, existe la posibilidad de que las herramientas de Greasy Opal estén posibilitando ataques a su empresa. Las empresas deben asegurarse de que su conjunto de seguridad para la gestión de bots sea sólido, incluidas soluciones de prueba de trabajo y desafíos CAPTCHA modernos, así como desafíos resistentes a la IA que incluyan técnicas anti-ML.
Los bots de Greasy Opal, creados con inteligencia artificial, resuelven los CAPTCHA tradicionales de forma económica, lo que es importante para los atacantes con motivaciones económicas. Los bots de Greasy Opal son muy eficientes, pero tienen un talón de Aquiles: su tecnología de bots no escala bien porque está basada en CPU, no en GPU. Esta limitación en la escalabilidad surge de la potencia de procesamiento en paralelo inherentemente menor de las CPU en comparación con las GPU, lo que lleva a un procesamiento de datos más lento y una eficiencia reducida en el manejo de ataques de bots a gran escala. En consecuencia, la vulnerabilidad del sistema se ve exacerbada por su dependencia de una arquitectura de hardware obsoleta, lo que lo hace más susceptible a ser detenido por contramedidas avanzadas diseñadas para explotar esta debilidad.
Las herramientas de Greasy Opal son baratas y accesibles porque se venden como un producto (hay que ir a un sitio web y comprar). Los atacantes no necesitan hardware de servidor de alta gama para ejecutar estas herramientas. El hecho de que tenga una gran cantidad de compradores refleja que las herramientas de Greasy Opal son una amenaza y los equipos de seguridad deben mantenerse alerta para detectar y detener los ataques que utilizan estas herramientas.
Acerca de ACTIR
La unidad Arkose Cyber Threat Intelligence Research (ACTIR) es un equipo de contrainteligencia especializado y dedicado integrado en Arkose Labs. Compuesto por expertos a tiempo completo en análisis de amenazas cibernéticas, análisis forense digital y operaciones de ciberseguridad, la misión principal de ACTIR es identificar, evaluar y neutralizar amenazas cibernéticas sofisticadas. Al aprovechar tecnologías y metodologías de vanguardia, ACTIR proporciona inteligencia procesable y organiza respuestas coordinadas para mitigar las amenazas planteadas por entidades como Greasy Opal. Recientemente, se asoció con Microsoft DCU y las fuerzas del orden para desmantelar el grupo de actores de amenazas vietnamitas Storm-1152. A través de la colaboración con el galardonado SOC de Arkose Lab, ACTIR desempeña un papel fundamental en la mejora de la postura de ciberseguridad y en garantizar la integridad de la infraestructura digital de empresas de Fortune 500, líderes de la categoría y empresas pioneras, como OpenAI. Acceda a la investigación de amenazas de ACTIR taxonomía aquí.
Póngase en contacto con ACTIR para analizar estos conocimientos: [email protected]
Contacto con los medios
Jean Creech Avent
Laboratorios Arkose
Director global de marca y comunicaciones
[email protected]
+1 843-986-8229
Apéndice
Esta es una lista completa de sitios web que Greasy Opal respalda para ayudar a los atacantes. Por ejemplo, si un atacante quisiera atacar el Servicio de Pasaporte Electrónico Ruso, el software de Greasy Opal lo ayudaría a eludir las protecciones.