Mandiant vs Judische: Una Partita a Scacchi nel Dark Web

Redazione RHC : 23 Settembre 2024 16:26

Secondo lo stesso aggressore, Judische ha guadagnato circa 2 milioni di dollari estorcendo dati. All’inizio dell’anno, Judische ha lanciato una serie di attacchi, hackerando i database cloud di Snowflake e rubando dati sensibili. Secondo alcuni rapporti, sono state colpite fino a 165 aziende, tra cui Ticketmaster, Santander Bank e Neiman Marcus. Gli hack hanno causato gravi conseguenze per vari settori.

Uno degli attacchi più importanti di Judische è stata la violazione dei dati di AT&T, in cui lui e il suo complice John Binns hanno rubato informazioni su milioni di utenti. I dati ottenuti potrebbero tracciare la cronologia delle chiamate e dei messaggi degli abbonati, fornendo ai criminali un quadro ricco della vita personale delle vittime. Judische e Binns hanno iniziato effettua do frodi di SIM Swapping. I criminali catturavano i numeri di telefono delle vittime per hackerare i loro account online.

Binns è stato arrestato in Turchia dopo l’attacco hacker ad AT&T, ma Judische ha continuato le sue attività, aumentando il numero degli attacchi. Judische ha utilizzato gli alias “zfa”, “catgwuirrel”, “scarlet” e altri. I messaggi dell’hacker su Telegram sono caotici e minacciosi per i ricercatori di sicurezza informatica. Una strategia è quella conosciuta come “detrace“: incolpa gli altri per i suoi attacchi per confondere gli investigatori.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Oltre al ricatto, Judische ha interagito attivamente con gli intermediari che lo hanno aiutato a strutturare i dati per ulteriori estorsioni. Uno di questi intermediari era Vinny Troia, che ha offerto a Judische i suoi servizi per la vendita di dati rubati. Troia ha mantenuto una corrispondenza attiva con i soci dell’hacker, offrendo opzioni per monetizzare le informazioni rubate.

Le attività di Judische hanno iniziato ad attirare l’attenzione degli esperti di sicurezza informatica. Uno degli esperti, l’analista senior delle minacce di Mandiant Austin Larsen, ha concentrato i suoi sforzi sulla ricerca di tracce che l’hacker potrebbe aver lasciato dietro di sé. Alla conferenza sulla sicurezza informatica LABScon, Larsen presenterà le sue scoperte sull’identità e sulla posizione dell’hacker.

Durante l’indagine, Larsen ha esaminato i messaggi pubblici e privati ​​di Judische su Telegram, dove era attivo. A poco a poco, il ricercatore iniziò a farsi un’idea di chi fosse Judische e dove potesse trovarsi.

Judische ha commesso un errore fondamentale che ha permesso agli investigatori di rintracciarlo. Durante la registrazione di uno dei video in cui Judische avrebbe cancellato i dati rubati della vittima, nell’inquadratura era presente il nome host del computer, che ha aiutato Larsen a tracciare la posizione del server dell’hacker. Utilizzando il motore di ricerca Censys, Larsen è stato in grado di identificare l’infrastruttura che supporta le attività di Judische. Il server è stato trovato in Ucraina e l’accesso è stato presto bloccato.

Il blocco dell’infrastruttura ha rallentato l’hacker, poiché ora non aveva più accesso ad una parte dei dati rubati, ritardando ulteriori tentativi di ricatto verso le aziende. Judische ha risposto con una tempesta di messaggi arrabbiati su Telegram, dove si è lamentato dell’interferenza delle autorità ucraine e ha affermato che il server sarebbe stato restituito a causa di un malinteso. Tuttavia, subito dopo, Mandiant è riuscita a bloccare molti altri server Judische.

La ricerca di Larsen e del team Mandiant ha identificato diverse centinaia di indicatori di compromesso relativi alle attività di Judische. Questi includevano indirizzi IP, nomi host e altri tag tecnici che aiutavano a tenere traccia delle azioni dell’hacker su varie piattaforme.

Sulla base dei dati raccolti, Mandiant è riuscita a farsi un quadro più completo dell’identità dell’aggressore. Judische è un giovane sulla ventina, che si ritiene venga dal Canada, appassionato di videogiochi e “cat woman” (un cliché popolare negli anime), e può stare sveglio per giorni interi mentre hackera Telegram. Al momento, gli investigatori, sia di Mandiant che delle forze dell’ordine negli Stati Uniti e in altri paesi, stanno continuando attivamente le indagini, coordinando i loro sforzi per identificare finalmente l’hacker e reprimere le sue attività.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli