Mandiant vs Judische: Una Partita a Scacchi nel Dark Web

Redazione RHC : 23 Settembre 2024 16:26

Secondo lo stesso aggressore, Judische ha guadagnato circa 2 milioni di dollari estorcendo dati. All’inizio dell’anno, Judische ha lanciato una serie di attacchi, hackerando i database cloud di Snowflake e rubando dati sensibili. Secondo alcuni rapporti, sono state colpite fino a 165 aziende, tra cui Ticketmaster, Santander Bank e Neiman Marcus. Gli hack hanno causato gravi conseguenze per vari settori.

Uno degli attacchi più importanti di Judische è stata la violazione dei dati di AT&T, in cui lui e il suo complice John Binns hanno rubato informazioni su milioni di utenti. I dati ottenuti potrebbero tracciare la cronologia delle chiamate e dei messaggi degli abbonati, fornendo ai criminali un quadro ricco della vita personale delle vittime. Judische e Binns hanno iniziato effettua do frodi di SIM Swapping. I criminali catturavano i numeri di telefono delle vittime per hackerare i loro account online.

Binns è stato arrestato in Turchia dopo l’attacco hacker ad AT&T, ma Judische ha continuato le sue attività, aumentando il numero degli attacchi. Judische ha utilizzato gli alias “zfa”, “catgwuirrel”, “scarlet” e altri. I messaggi dell’hacker su Telegram sono caotici e minacciosi per i ricercatori di sicurezza informatica. Una strategia è quella conosciuta come “detrace“: incolpa gli altri per i suoi attacchi per confondere gli investigatori.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Oltre al ricatto, Judische ha interagito attivamente con gli intermediari che lo hanno aiutato a strutturare i dati per ulteriori estorsioni. Uno di questi intermediari era Vinny Troia, che ha offerto a Judische i suoi servizi per la vendita di dati rubati. Troia ha mantenuto una corrispondenza attiva con i soci dell’hacker, offrendo opzioni per monetizzare le informazioni rubate.

Le attività di Judische hanno iniziato ad attirare l’attenzione degli esperti di sicurezza informatica. Uno degli esperti, l’analista senior delle minacce di Mandiant Austin Larsen, ha concentrato i suoi sforzi sulla ricerca di tracce che l’hacker potrebbe aver lasciato dietro di sé. Alla conferenza sulla sicurezza informatica LABScon, Larsen presenterà le sue scoperte sull’identità e sulla posizione dell’hacker.

Durante l’indagine, Larsen ha esaminato i messaggi pubblici e privati ​​di Judische su Telegram, dove era attivo. A poco a poco, il ricercatore iniziò a farsi un’idea di chi fosse Judische e dove potesse trovarsi.

Judische ha commesso un errore fondamentale che ha permesso agli investigatori di rintracciarlo. Durante la registrazione di uno dei video in cui Judische avrebbe cancellato i dati rubati della vittima, nell’inquadratura era presente il nome host del computer, che ha aiutato Larsen a tracciare la posizione del server dell’hacker. Utilizzando il motore di ricerca Censys, Larsen è stato in grado di identificare l’infrastruttura che supporta le attività di Judische. Il server è stato trovato in Ucraina e l’accesso è stato presto bloccato.

Il blocco dell’infrastruttura ha rallentato l’hacker, poiché ora non aveva più accesso ad una parte dei dati rubati, ritardando ulteriori tentativi di ricatto verso le aziende. Judische ha risposto con una tempesta di messaggi arrabbiati su Telegram, dove si è lamentato dell’interferenza delle autorità ucraine e ha affermato che il server sarebbe stato restituito a causa di un malinteso. Tuttavia, subito dopo, Mandiant è riuscita a bloccare molti altri server Judische.

La ricerca di Larsen e del team Mandiant ha identificato diverse centinaia di indicatori di compromesso relativi alle attività di Judische. Questi includevano indirizzi IP, nomi host e altri tag tecnici che aiutavano a tenere traccia delle azioni dell’hacker su varie piattaforme.

Sulla base dei dati raccolti, Mandiant è riuscita a farsi un quadro più completo dell’identità dell’aggressore. Judische è un giovane sulla ventina, che si ritiene venga dal Canada, appassionato di videogiochi e “cat woman” (un cliché popolare negli anime), e può stare sveglio per giorni interi mentre hackera Telegram. Al momento, gli investigatori, sia di Mandiant che delle forze dell’ordine negli Stati Uniti e in altri paesi, stanno continuando attivamente le indagini, coordinando i loro sforzi per identificare finalmente l’hacker e reprimere le sue attività.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli