Chi è IntelBroker: il Threat Actors dietro gli attacchi a Zscalar ed Europol

Redazione RHC : 27 Maggio 2024 22:22

Intelbroker è un individuo (o un gruppo di hacker criminali) operante nel dark web, tra le risorse underground quali xss, Breachforums, Exposed. Si tratta di un attore di minacce operante nel gruppo di hacker “Cyberniggers“, ed è attivo sia nelle categorie di hacktivismo che nella criminalità informatica, soprattutto come Inital Access Broker (IaB).

Come accennato in precedenza, in prima linea tra CyberNiggers è un membro di lunga esperienza nell’orchestrazione di attacchi informatici di alto profilo. Operando come Initial Access Broker (IaB), IntelBroker è specializzato nell’identificazione e nella vendita dell’accesso ai sistemi compromessi, aprendo la strada a varie attività dannose.

Nonostante l’identità collettiva dei CyberNiggers, IntelBroker si distingue come attore di minacce individuali. Questa distinzione solleva interrogativi sulla portata delle loro capacità e sulle motivazioni che guidano i loro sforzi individuali.

La presenza sui forum underground

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La presenza dell’attore sul forum underground in lingua russa XSS riguarda un post del 6 gennaio 2023, in cui pubblicizza la vendita di un database appartenente ad AT&T, che sarebbe stato rubato a una società di software. Il numero totale di post pubblicati da Intelbroker su questa fonte è uno.

L’attività di Intelbroker su Breeded.to è iniziata il 13 ottobre 2022, con l’ultima attività registrata l’8 marzo 2023. Durante questo periodo, hanno pubblicato un totale di 8 post. Uno dei suoi post include informazioni sugli exploit del kernel per iOS 15 e macOS 12, a cui sono state applicate delle specifiche patch.

La presenza di Intelbroker su Breachforums.is risale al 13 giugno 2023, con la sua ultima attività registrata il 3 maggio 2024. Ha pubblicato un totale di 112 post.

Alcuni dei suoi post includono discussioni sulla vendita di dati di siti Web covid-19 argentini, un corso completo sullo sviluppo di malware di MalDevAcademy e avvertimenti contro la collaborazione con individui specifici.

Intelbroker è stato presente sia su BreachForums.vc ed Exposed.vc. Oltre alla presenza online dell’attore, ci sono diverse persone associate a Intelbroker in base alla loro identità sui social media che non divulgheremo in questo articolo.

Accessi di alto profilo ma a prezzi accessibili

l’aspetto peculiare delle recenti attività di IntelBroker e CyberNiggers è il prezzo richiesto sorprendentemente basso per l’accesso alle informazioni sensibili. Ad esempio, l’offerta di vendere l’accesso ai file DARPA per 500 dollari solleva dubbi sull’autenticità e sulle motivazioni dietro una proposta così apparentemente sottovalutata. In un tweet, hanno anche affermato di aver venduto dati sensibili basati negli Stati Uniti per 4.000 dollari. In altre parole si può dire che la fascia di prezzo si aggira generalmente attorno a cifre relativamente basse.

IntelBroker probabilmente ha partecipato attivamente al panorama delle minacce informatiche almeno dalla fine del 2022. Notevoli violazioni attribuite a IntelBroker includono attacchi riusciti a Weee Grocery Service, Autotrader, Volvo, Hilton Hotels, AT&T, Zscaler e l’ultima violazione quella dei dati della Europol.

Ma anche rivendita di dati e ransomware

Il modus operandi di IntelBroker ruota principalmente attorno all’individuazione e alla vendita dell’accesso a sistemi compromessi. La loro attenzione alla fase di accesso iniziale degli attacchi informatici li rende una componente fondamentale nel più ampio ecosistema del crimine informatico. Anche se inizialmente tenta di vendere l’accesso ottenuto, quando non riesce a portare a termine una vendita con successo in quest’area, probabilmente si impegna in tentativi di infiltrazione e riesce a rubare alcuni dati; Sample offre anche i dati che condivide in vendita sul forum.

IntelBroker ha anche dichiarato in un post che stava lavorando su un proprio ceppo di ransomware. Naturalmente, mettere il ransomware nelle mani di un attore specializzato nell’accesso può aumentare notevolmente il vettore di attacco e la distruttività.

Si può tuttavia affermare che in passato ha venduto l’accesso ottenuto a gruppi di ransomware. Si tratta quindi di un attore che è stato a lungo associato al panorama del mondo del RaaS.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli