Click here to download the complete analysis as a PDF.

This report identifies and connects the original Joker’s Stash marketplace to infrastructure used to support their user base. This report will be of greatest interest to those tracking the underground economy, enterprises who need to monitor for stolen credit card data, and analysts interested in infrastructure pivoting. Sources include the Recorded Future® Platform, DomainTools Iris, Shodan, BinaryEdge, Censys, SecurityTrails, and FarsightDNS, along with third-party metadata and common OSINT techniques.

Executive Summary

The Joker’s Stash marketplace has evolved both its offerings and its infrastructure to better support its clientele. The forum operators have moved beyond carding to include a variety of personally identifiable information (PII) on victims, including contact information and Social Security numbers (SSNs). This represents an escalation in the type of data that Joker’s Stash operators are selling. Additionally, the actors have continued to provide dedicated domains and servers for their buyers but have moved the infrastructure off of Tor, allowing the infrastructure to be enumerated and tracked.

Key Judgments

• Joker’s Stash operators shifted their offerings to include more personally identifiable information that is easily accessible to users. The volume of this data has grown in recent years. This poses an evolving and enduring threat to consumers and retailers affected by fraudsters populating the market.
• Recorded Future assesses with high confidence that the infrastructure of Joker’s Stash exceeds the main forum currently operated by threat actors; over 500 domains and 54 servers were linked to Joker’s Stash.
• Recorded Future assesses with high confidence that the domains and servers related to Joker’s Stash are spun up and used for surges in available data to provide better support to clients that buy in bulk.
• Recorded Future assesses with high confidence that Joker’s Stash will remain a popular marketplace for threat actors to advertise and sell compromised credit cards, as spikes in marketplace activities have coincided with major breaches.

Background

Au cours des cinq dernières années, Joker's Stash est devenu l'un des principaux magasins clandestins de cartes de crédit grâce à la mise en vente d'un nombre important de cartes de crédit volées lors de violations de données chez des entreprises telles que Target, Walmart, Saks Fifth Avenue, Lord & & 's Taylor et British Airways. Ces ventes de cartes de paiement compromises sont annoncées sur plusieurs forums du dark web, notamment Omerta, Club2Crd, Verified et d'autres. Le 22 août 2019, le magasin a publié le premier lot de données de cartes de crédit volées (dumps) provenant d'une violation présumée du système de point de vente (POS) de la chaîne de stations-service et de magasins de proximité Hy-Vee. On estime que Joker's Stash répertorie 5,3 millions de numéros de cartes de crédit liés à cette violation.

Section Actualités telle qu'elle apparaît sur Joker's Stash, en date du 30 septembre 2019.
Bien qu'il soit principalement connu pour les cartes de paiement compromises, le magasin a considérablement élargi sa base de données de numéros de sécurité sociale accompagnés d'informations personnelles identifiables. Les données comprennent des informations sur les dirigeants des entreprises du classement Fortune 500, les membres du cabinet de la Maison Blanche et les titulaires de cartes provenant d'au moins 35 États américains. Recorded Future n'a pas été en mesure de vérifier l'authenticité de ces numéros de sécurité sociale, mais a pu vérifier un petit nombre de cas où les informations personnelles identifiables se sont avérées exactes. Depuis août 2019, le groupe fait largement la promotion de ses avoirs en SSN sur Twitter.

Results of an SSN search from the Joker’s Stash marketplace.

Analysis of Listings

The Joker’s Stash market is now broken into three main sections: dumps, cards, and SSNs. Dumps and cards are both related to stolen payment card data; dumps refer to the Track 2 — and in some cases, Track 1 — data on the magnetic strip of a payment card. Cards include the full data associated with a card-not-present transaction, such as the payment card number, expiration date, and CVV number, as well as other information typically provided by the payment card holder when making an online purchase. The SSN section represented a serious update to the marketplace, providing a more persistent fraud vector compared to the relatively short usefulness of credit card data. Joker’s Stash offers a comprehensive amount of personal details at $5 per record, searchable by first and last name, and at least one other identifier like “date of birth” or “state.” If the record is still available and unpurchased, the website will show a “buy” button. Records indicated as “too late to buy” have already been purchased by another threat actor, and are likely in use.

Fonctionnalité de recherche par numéro de sécurité sociale sur Joker's Stash, à compter du 30 septembre 2019.
Les numéros de sécurité sociale peuvent être recherchés en masse et filtrés par lieu. Les informations personnelles supplémentaires, notamment l'adresse récente et le code postal, peuvent permettre aux fraudeurs de cibler des zones spécifiques, ce qui pourrait faciliter la fraude à l'encontre des banques régionales, des coopératives de crédit ou des petites chaînes de magasins. La facilité avec laquelle ces données sont accessibles est particulièrement préoccupante. Il s'agit du marché ou forum le plus important connu de Recorded Future qui commercialise des numéros de sécurité sociale en masse. Il s'agit également du premier forum offrant des capacités de recherche aussi performantes sur l'ensemble de ses données.

Bulk Social Security number search, as of September 30, 2019.

The introduction of SSNs that can be accessed without forum vetting significantly lowers the barrier to entry for identity theft. While the sale of SSNs on Joker’s Stash will likely result in identity theft and stolen financial data that will evade detection, it will also very likely encourage lower-end attempts. This will create volume issues for banks and financial institutions attempting to determine fraud when a request is made with fully correct PII.

Tracking Joker’s Stash Infrastructure

The operators of Joker’s Stash have relied on infrastructure on the clearnet in addition to their markets that use obfuscated methods of access. Joker’s Stash implemented the use of Blockchain DNS via browser extension in 2017, alongside a Tor marketplace, to lower barriers of access for new customers. The use of Blockchain DNS involves the download of a browser extension that stores all of the DNS data for various top-level domains (TLDs) locally. The hosting data is not managed by, or shared with, mainstream DNS providers, but over a peer-to-peer network. The peer-to-peer nature of the service renders the Joker’s Stash marketplace more impervious to takedowns or sinkholing by DNS authorities.

Insikt Group was able to identify 49 servers and 543 domains that are linked to Joker’s Stash with high confidence. The Blockchain DNS browser extension is needed to access jstash[.]bazar, but Blockchain DNS published the IP address of jstash[.]bazar on another web page, circumventing any potential obfuscation provided by the decentralized DNS.

The group has advertised a number of different domains across their alleged social media accounts on Reddit, Twitter, PasteSites, and other carding forums. There are three domains notably associated with Joker’s Stash:

• jstash[.]bazar, the flagship Joker’s Stash shop, is only accessible via Blockchain DNS browser extension. However, the domain was found to be hosted on the IP address 185.61.137.166.
• jstash[.]ch has been advertised on carding forums by the Joker’s Stash handle, but operates on the open internet on the server 188.209.52.24.
• jstash[.]de has been advertised on Reddit, is hosted on 185.61.138.182, and previously was hosted on the same server as jstash[.]ch, on 188.209.52.24.

Tentative d'accès au serveur Joker's Stash via le DNS normal le 25 septembre 2019.
Les serveurs 185.61.138.182 et 185.61.137.166 présentaient deux caractéristiques inhabituelles pour le pivotement. Le pivotement de certificats a permis d'identifier quatre adresses IP supplémentaires sur la même plage CIDR, 185.61.137.0/24, qui utilisaient les mêmes numéros de série de certificats TLS que les serveurs mentionnés ci-dessus. De plus, toutes les adresses IP partageaient un titre HTTPS : « Joker's Favorite CAPTCHA ». En analysant les données de Shodan, Binary Edge et Censys, nous avons identifié 54 serveurs partageant le même titre HTTPS, les mêmes en-têtes et la même page d'accueil. Ces adresses IP sont répertoriées à l'annexe A, tandis que des exemples d'en-têtes sont fournis à l'annexe B.

Joker’s Stash server header example, via Shodan.

L'utilisation de recherches IP inversées et de pivots WHOIS a permis d'identifier un total de 543 domaines. Les domaines utilisaient une convention de nommage similaire : [mot anglais 1]-[mot anglais 2]-[mot anglais 3].[tld]. Il est important de noter que ces domaines ne sont pas malveillants, dans le sens où ils ne transmettent pas de logiciels malveillants ou ne tentent pas d'hameçonner les visiteurs. Des domaines de cette nature ont déjà été signalés par Brian Krebs; ils servent de portails aux principaux clients de Joker's Stash pour acheter, stocker et récupérer des cartes qui les intéressent sur des serveurs dédiés. Insikt Group a vérifié la connexion en effectuant des transactions tests sur les domaines, qui ont été reflétées dans le solde du compte test de la boutique principale. La majorité des domaines étaient hébergés sur les adresses IP suivantes :

• 179.43.169.17
• 185.82.200.250
• 185.178.211.162
• 85.25.193.28
• 85.25.192.57

Exemple de regroupement de domaines vers une adresse IP provenant de l'infrastructure Joker's Stash.
Il est très probable que d'autres domaines liés à cette activité n'aient pas été identifiés dans le cadre de cette étude. Les domaines que Recorded Future a associés avec un haut degré de certitude à Joker's Stash sont répertoriés dans l'annexe C.

Cartographie Maltego de l'infrastructure de Joker's Stash.
Contrairement à la boutique principale Joker's Stash, les domaines et les serveurs sont accessibles via des navigateurs classiques. Cela permet aux opérateurs d'offrir un service amélioré à leurs meilleurs clients sans avoir recours à d'autres mesures de sécurité opérationnelles. Cette infrastructure a été initialement créée pour fournir un accès aux clients confirmés, tout en évitant la prolifération de faux domaines Joker's Stash créés entre 2015 et 2016. Il est important de noter que la connexion aux domaines ou aux serveurs via Tor affichera une page d'accueil informant les utilisateurs d'utiliser un navigateur standard pour accéder à la page via le réseau clair. Cela vise probablement à bloquer les nœuds de sortie Tor connus, car les listes sont généralement diffusées.

Avertissement Tor provenant du serveur Joker's Stash le 25 septembre 2019.
464 des domaines ont renvoyé le même code d'erreur « 511 Network Authentication Required » que les serveurs mentionnés ci-dessus. Les pages Web qui ont pu être affichées ont toutes affiché la même page « Joker's Favorite CAPTCHA » ; toutefois, elles n'ont pas permis d'accéder aux identifiants normaux de Joker's Stash. Cela signifie qu'ils sont destinés à une clientèle spécifique.
Les données historiques d'hébergement de ces domaines ont permis d'identifier 176 serveurs uniques ; Recorded Future estime qu'une grande partie d'entre eux sont peu fiables, qu'il s'agisse de registraires mettant les domaines en attente ou d'hébergeurs provisoires. Ces données peuvent s'avérer utiles pour des corrélations futures, mais ne font actuellement pas partie de l'infrastructure Joker's Stash.
Un autre élément de l'analyse de l'infrastructure consiste à examiner une analyse temporelle des dates d'enregistrement des noms de domaine. Après avoir examiné tous les domaines identifiés à l'aide de cette méthode, les analystes ont représenté graphiquement la date d'enregistrement des domaines au fil du temps, comme le montre le graphique « Enregistrements de domaines au fil du temps » (DROT) ci-dessous. D'après nos conclusions, des pics d'activité ont été observés en 2015 et 2017, ce qui correspond approximativement aux dates des violations majeures. La plupart de ces domaines ont été réactivés en 2019 pour une utilisation continue.

DROT graph for domains connected to Joker’s Stash.

La réutilisation de ces domaines indique que la clientèle des carders fluctue en fonction des violations de données importantes. Par exemple, un grand nombre de ces domaines ont été enregistrés en 2017, avant la divulgation des violations de Sonic et Jason's Deli, ainsi que d'autres violations majeures liées aux cartes de paiement. Joker's Stash annonce généralement bien à l'avance la sortie de nouvelles cartes de paiement issues d'une nouvelle violation et devrait également améliorer son infrastructure en prévision de ces sorties. Insikt Group est convaincu qu'un certain nombre de domaines ont été réactivés en 2019 autour de l'acquisition par Joker's Stash des données volées à Hy-Vee. Insikt Group émet l'hypothèse que cette infrastructure a été mise en place en prévision d'engagements clients liés à des violations de données à grande échelle. Vous trouverez ci-dessous quelques exemples de ces domaines.

Outlook

Joker’s Stash’s expansion of SSN records has cemented it as an enduring threat to retailers, hospitality entities, and consumers, making the detection of fraudulent transactions all the more difficult. Recorded Future believes Joker’s Stash will remain a substantial risk due to the ease of use and monetization of stolen payment card data. Additionally, the volume of infrastructure created for clients that purchase large amounts of data from Joker’s Stash indicates a large client base. Moreover, the inclusion of PII records likely promotes the expansion of carding to lower-tier criminals, as it will make it easier for less sophisticated individuals to circumvent anti-fraud measures.

The ready and inexpensive availability of seemingly accurate personal data on Joker’s Stash can be even more damaging to individuals than the loss of payment card data. Once a person’s PII is out, it is much harder to mitigate than simply issuing a new card, and the fraud may follow the victim for years to come since information such as Social Security number, mother’s maiden name, date of birth, place of birth, and so on is much harder to change or replace as verification methods.

Recommendations

Social Security information, banking credentials, and payment cards should be closely monitored for fraudulent activity. While protections offered by major banks and credit card vendors are very good at identifying fraud, Recorded Future recommends continued review and auditing of payment card and banking transactions, like setting up notifications for all card-not-present transactions. Insikt Group recommends continuing to monitor the Joker’s Stash infrastructure listed in the associated appendices for new IP addresses and domains, to understand the ebbs and flows of the store’s operators and clients.

Recorded Future believes that network administrators should monitor for the domains and IP addresses listed in Appendices A and C, as they may indicate that a user in the network is involved in some sort of fraud.

To view a full list of the associated indicators of compromise, download the appendix.