Quando gli hacker hanno iniziato a darsi addosso l’un l’altro e a far trapelare i contenuti dei forum online chiusi, i ricercatori di cybersicurezza hanno trovato un tesoro di informazioni sui criminali nel dark web.
È qui che Joe Stewart di eSentire ha individuato per la prima volta le tracce digitali di un uomo di Montreal noto come “Badbullzvenom”, che forniva malware a noti gruppi di criminali informatici russi.
Stewart e un altro ricercatore di eSentire, Keegan Keplinger, sono sulla bocca di tutti alla conferenza sulla cybersicurezza di Las Vegas – Black Hat 2022 – per aver smascherato l’hacker dietro il malware “Golden Chickens”.
Stewart è un veterano della sicurezza informatica. È stato il primo a individuare il cyber-spionaggio dell’esercito cinese contro le aziende americane. Ha smascherato hacker in Nigeria, Russia, Cina e ora a Montreal.
La società di cybersicurezza con sede a Waterloo ha fornito alla RCMP tutto ciò che ha sul residente di Montreal, che si ritiene sia associato a una gang di strada haitiana – The 67s – con sede nel quartiere Saint-Michel della città.
“Vorremmo che qualcuno lo trovasse e lo ammanettasse”, ha detto Stewart.
L’uomo di Montreal ha fornito il malware “Golden Chickens” a FIN6 e Cobalt, due noti gruppi russi di criminalità informatica. Sono affiliati a un terzo gruppo chiamato Evilnum con sede nella vicina Bielorussia. Il trio ha rubato 1,5 miliardi di dollari USA ed è noto come “The Billion Dollar Hackers Club”.
“Questi ragazzi la stanno facendo franca con un sacco di crimini finanziari che causano un sacco di danni finanziari”, ha detto Stewart. “Vendono i loro strumenti a persone che causano danni ancora maggiori”.
Uno dei più grandi cambiamenti nella sua carriera di cybersecurity è iniziato nel 2011-2012 con le prime fughe di notizie dai forum chiusi di hacker sul dark web.
All’inizio si trattava di un rivolo di allettanti indizi digitali sui criminali professionisti che condividevano informazioni, consigli e malware nei forum.
Nel 2019 si è trasformato in un torrente di fughe di notizie di grandi dimensioni. Fino ad allora i criminali informatici dovevano commettere un grosso errore prima di essere smascherati.
“Ma ora, con tutte le fughe di dati che si sono verificate da questi forum di hacker clandestini, possiamo tracciare un quadro chiaro di chi sia l’attore della minaccia se ha trascorso un certo numero di anni online impegnandosi nella criminalità informatica, parlando poi con altri attori della minaccia e rivelando piccoli indizi su di sé”, ha detto Stewart.
Le fughe di notizie combinate devono essere conservate in modo sicuro e accessibili ai ricercatori di sicurezza informatica, che possono utilizzare le informazioni per anni di indagini.
“Si tratta di materiale che prima non era disponibile, ma che ora lo è”, ha detto Stewart. “È un tesoro di informazioni per persone come noi”.
Stewart e Keplinger utilizzeranno queste informazioni per continuare a lavorare sul dossier “Golden Chickens”. L’hacker di Montreal che hanno smascherato lavorava con un complice che eSentire ritiene si trovi in Romania.
Il malware “Golden Chickens” è stato utilizzato nel marzo 2021 e di nuovo nel marzo 2022, quando eSentire ha visto che veniva caricato sulla piattaforma VirusTotal di Google. Gli hacker lo fanno per assicurarsi che il loro malware superi le scansioni antivirus. L’individuazione su VirusTotal indica che un altro cyberattacco sarà lanciato presto, prendendo di mira le aziende di e-commerce. Di solito gli hacker testano il malware su piattaforme clandestine, che vengono regolarmente ritirate dalle autorità.
La piattaforma di test preferita dagli hacker potrebbe essere inattiva, quindi hanno usato quella disponibile pubblicamente perché devono testare il malware per un acquirente, ha detto Stewart.
“Quindi ora stiamo solo aspettando che l’altra scarpa cada su quest’ultima campagna”, ha detto Stewart.
All’inizio, piccoli lotti di codice maligno sono stati caricati su VirusTotal a luglio. Poi è stato caricato il carico totale di codice di “Golden Chickens”.
“Le cose si stanno muovendo abbastanza velocemente”, ha detto Stewart. “Mi aspetto qualcosa nei prossimi due mesi”.
