Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

888 rivendica un attacco informatico ai danni di BMW Hong Kong. Database scaricabile nelle underground

Marco Mazzola : 10 Settembre 2024 07:31

In data 3/9/24 sul celebre forum “Breached” è comparso un post dove il Threat Actors 888 mette in vendita un database con diverse informazioni sui proprietari dei veicoli estratti da BMW Hong Kong,.

Secondo 888, sarebbe la seconda esfiltrazione, ora più completa con dati riguardanti account del proprietario, nomi, dettagli di contatto etc….

Secondo cybersecuritynews BMW ha sottolineato il suo impegno per la privacy dei clienti e gli sforzi continui per rafforzare la sicurezza dei suoi sistemi. Tuttavia, le violazioni che sembrerebbero avvenute nella prima metà del 2024 hanno sollevato diverse preoccupazioni.

SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version

Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.

Promo Corso CTI

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Al momento, non è possibile confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda od effettuare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è 888 ?

Il cyber threat actor noto come “888” ha fatto la sua comparsa nei forum underground nell’agosto 2023.

Le sue operazioni si concentrano principalmente sul furto di dati sensibili di importanti aziende, al fine di poterli rivendere. Tra le aziende che potrebbero avere subito violazioni da parte di “888” rientrano: Shopify, BMW (Hong Kong), L’Oreal, Shell, Heineken, Accenture (India) e Credit Suisse (India).

Le attività di “888” rappresentano una minaccia significativa per le organizzazioni con potenziali impatti che includono la perdita di dati confidenziali, danni alla reputazione, costi finanziari per la risposta agli incidenti e possibilità di estorsioni.

Per mitigare i rischi associati a questo attore della minaccia, le organizzazioni devono monitorare attivamente l’esposizione dei propri dati, oltre a implementare misure di sicurezza robuste, tra cui controlli di accesso, crittografia dei dati, gestione delle patch e formazione del personale sulla sicurezza informatica.

In sintesi, “888” rappresenta una minaccia emergente nel panorama della cybersecurity, e le organizzazioni devono rimanere vigili e informate per proteggere i loro dati e la loro reputazione.

In poco meno di un anno di attività ha dimostrato determinazione nel perseguire le sue attività dannose, accumulando una reputazione totale di 1750, con 66 valutazioni dai membri (di cui 65 positive e 1 negativa).

Cerchiamo di fornire un’analisi delle attività note di “888” e delle organizzazioni bersaglio, nonché alcune raccomandazioni per le organizzazioni che desiderano proteggere i loro dati sensibili.

Per la redazione del report si è fatto riferimento a fonti di informazione disponibili su internet e al monitoraggio di forum underground.

Threat Landscape

Le attività di “888” si concentrano sulla compromissione di dati sensibili, che vengono successivamente diffusi nei canali underground. Fino ad oggi, “888” ha postato 51 thread su Breachforums, offrendo sample di dati e proponendo la condivisione di informazioni sensibili dietro pagamento. Le aziende bersaglio includono nomi di rilievo come: Riyadh Airport, Shopify, BMW (Hong Kong), L’Oreal, Shell, Heineken, Accenture e Credit Suisse (India).

Purtroppo ad oggi non ci sono informazioni certe circa le TTPs utilizzate da “888”; presumibilmente potrebbe sfruttare misconfiguration nei controlli di accesso o credenziali provenienti da altre violazioni, per poter avere accesso ai dati delle organizzazioni.

Inoltre, si potrebbe ipotizzare che i dati provengano da attacchi alla supply chain. Infatti, dopo la pubblicazione dei dati da parte di “888”, Shopify ha smentito di aver subito un data breach, affermando che le informazioni potessero provenire da violazioni di app di terze parti.

Ulteriori ricerche sono necessarie per comprendere le strategie e le tattiche utilizzate da questo threat actor.

Allo stesso modo, Accenture India ha contestato la validità della violazione rivendicata da “888”, indicando che solo 3 dei 32.000 record diffusi appartenevano a dipendenti dell’azienda.

Minacce Specifiche

Dalla sua comparsa il threat actor “888” si è reso responsabile di attacchi mirati contro organizzazioni di rilievo, come da tabella seguente:

TargetDataDettagli
Microsoft Data Breach2024Compromissione di dati confidenziali, impattanti per diversi utenti ed operazioni interne. Cybersecurity News
BMW (Hong Kong) Data Breach2024Compromissione dati  acquirenti, includendo dati personali e finanziari.
Shell Data Breach202480,000 records esposti, includendo dati aziendali sensibili.Medium Article
L’Orealluglio-24Dati di 7.110 dipendenti esposti. I dati includono nome, ruolo aziendale, e-mail, città, stato, paese.
Microsoftluglio-24Compromissione di dati riservati, con un impatto su più utenti e sulle operazioni interne.
BMW (Hong Kong)luglio-24Compromissione di dati dei clienti, incluse le informazioni personali e finanziarie.
Shopifyluglio-24Dati di 179.873 utenti esposti. I dati comprendono l’ID Shopify, i nomi, l’e-mail, il cellulare, il numero di ordini, il totale speso.
Good Smileluglio-24Dati di 184.245 clienti esposti. I dati comprendono l’ID del cliente, i nomi, l’e-mail, il nickname, lo stato, l’IP, il sesso, il tipo di login e l’indirizzo.
Nokialuglio-24Dati di 7.622 dipendenti esposti. I dati includono nome, ruolo aziendale, e-mail, numeri di telefono, settore, posizione.
Microsoftluglio-24Informazioni relative a 2.073 dipendenti Microsoft esposte. I dati includono nome, ruolo aziendale, e-mail, numeri di telefono, URL di LinkedIn, posizione, numero di telefono aziendale.
CuidatePlusgiugno-24Dati di 201.826 utenti esposti. Comprendono ID, email, nome, cognome, località, provincia, professione, specializzazione.
Alpha Capital Groupgiugno-24240.646 record di dati esposti. I dati comprendono l’ID del pagamento, l’ID della transazione, l’e-mail dell’ID utente, il tipo di pagamento, l’importo in dollari, il paese associato all’ID utente, il nome del coupon promozionale, l’ID di accesso al conto e la data di creazione.
Heinekengiugno-24Dati di 8.174 dipendenti esposti. I dati comprendono ID, ID utente, nomi, indirizzi e-mail e ruoli aziendali.
Accenture (India)giugno-24Esposti i dati di 32.826 dipendenti. Dati che comprendono indirizzi e-mail e nomi completi.
Credit Suissegiugno-24Dati di 19.000 utenti esposti. I dati comprendono nomi di clienti, indirizzi e-mail, date di nascita, nomi del prodotto, date di adesione, date di entrata in vigore e stato del rapporto.
Robinsons Mallsgiugno-24Dati di 107.000 utenti esposti. I dati comprendono nome e cognome, indirizzo e-mail, numero di cellulare, data di nascita, provincia, città, sesso e data di registrazione.
Shellmaggio-2480.000 record esposti, compresi dati aziendali sensibili.
Riyadh Airport Employeesmaggio-24Dati di 864 dipendenti esposti. I dati comprendono la matricola dei dipendenti, il nome completo, l’indirizzo e-mail e il numero di cellulare.
Decathlon (Spagna)maggio-246,644 employees’ data exposed. Data including employee email addresses, headquarters, transportation activities.
Ramen Kurodamaggio-24Informazioni di 26.052 clienti esposte. I dati comprendono nome, cognome, e-mail, numero di cellulare, data di nascita, sesso, punti totali RK, punti annuali RK, punti disponibili RK, saldo del portafoglio RK, totale speso e livello di appartenenza.
Audimaggio-24Esposti i dati di 21.896 clienti. I dati comprendono il codice del concessionario, il nome del concessionario, l’ID del cliente, il numero di conto, il nome del cliente, l’indirizzo, la città, lo stato, il CAP, il telefono e altro ancora.
Nestlemaggio-24Dati di 4.409 dipendenti esposti. I dati comprendono i nomi completi e gli indirizzi e-mail.
UNICEFaprile-24Dati di 11 Paesi compromessi. I dati comprendono amministratori, nomi, indirizzi, numeri di telefono, livello di istruzione e altro ancora.
Adams and Reese LLPaprile-24566.229 record esposti. I dati includono nomi, città, numeri di telefono, e-mail, indirizzi, profili LinkedIn e altro ancora.
Kintetsu World Expressaprile-24Esposti i dati di 819 membri. I dati comprendono nomi, indirizzi e-mail, località e paesi.
India Exportaprile-24317.000 record relativi ai dati di esportazione esposti. I dati comprendono date, città, Paesi, numeri di bolla di spedizione, indirizzi, porti, valute, quantità, unità, descrizioni, esportatori indiani, porti indiani, porti esteri, numeri di fattura, valori totali e altro ancora.
El Carniceroaprile-24Dati di 28.634 membri esposti. I dati comprendono ID, nomi, e-mail, gruppi, numeri di telefono, paese, regione, data di affiliazione.
AsiaLoveaprile-24Dati di 651.000 utenti esposti. I dati comprendono nomi, paesi, numeri di telefono, e-mail, date di nascita, indirizzi IP, informazioni relative ai dispositivi e altro ancora.
Find My Freelanceraprile-24Dati di 5.500 utenti esposti. I dati comprendono e-mail, indirizzi IP, ID utente, hash della password, username e altro ancora.
Gettr.comaprile-24Dati di circa 90.000 membri esposti. I dati comprendono e-mail, nomi utente, anno di nascita, lingua, località e altro ancora.
Books24.graprile-2443.000 record esposti. I dati includono nomi dei clienti, e-mail, indirizzo di spedizione, informazioni di spedizione, indirizzo di fatturazione, metodo di pagamento, codice del luogo di ritiro e altro ancora.
Ginx.tvfebbraio-2413.586 record esposti. I dati comprendono nomi utente, e-mail, data di creazione, ultima attività registrata.
Beamstart.comfebbraio-24544.610 record esposti. I dati comprendono ID account, profili, nomi, e-mail, numeri di telefono, hash delle password, nomi utente, città, paese.
Kyivstar.uagennaio-2415 milioni di record esposti. I dati comprendono numeri di telefono, nomi e cognomi, indirizzi di residenza, dati del passaporto, INN e date di nascita.
Beatbase.comgennaio-241.648.030 record esposti. I dati comprendono ID, e-mail, nome, cognome, hash delle password, ruoli e altre informazioni sugli account.
Bleutorch.comgennaio-24753.288 record esposti. I dati includono ID, username, email, url e altre informazioni.
Black.lygennaio-243.708.006 record esposti. I dati includono user id, id dispostivo utente, codice paese, sistema operativo del dispositivo, modello del dispositivo e altro ancora.
Portal.brainet.idagosto-23Esposti dati di utenti. I dati comprendono ID cliente, nomi utente, password, e-mail, nomi, indirizzi, città, provincia, codice postale, sesso, data di nascita, telefono, foto.

Mitigazione e Raccomandazioni

Al fine di mitigare le possibili conseguenze derivanti da diffusioni di dati sensibili dei dipendenti delle organizzazioni, è necessario che le aziende si dotino di strutture capaci di svolgere i compiti di Cyber Threat Intelligence, al fine di monitorare l’esposizione aziendale e quindi:

  • Implementare controlli di accesso robusti e autenticazione a più fattori
  • Provvedere con regolarità all’aggiornamento e al patching dei software
  • Formare il personale sulla sicurezza informatica e, in particolare, svolgere regolari aggiornamenti sulle minacce emergenti
  • Implementare soluzioni di sicurezza avanzate, come sistemi di rilevamento delle intrusioni e di analisi delle minacce
  • In occasione del rilevamento di dati esposti, aumentare il livello di attenzione di tutte le parti coinvolte nel business aziendale (dipendenti, clienti, fornitori), al fine di proteggersi dall’impiego delle informazioni stesse in attacchi di social engineering

Conclusioni

Pur in assenza di informazioni dettagliate che permettano di comprendere a fondo le capacità tecniche del cyber threat actor “888”, questo rappresenta una minaccia significativa dal momento che ha dimostrato determinazione nel perseguire le sue attività dannose, finalizzate all’esfiltrazione di dati sensibili per finalità economiche, oltre alla capacità di colpire organizzazioni rilevanti nei rispettivi settori di attività.

Fonti e Riferimenti:

Marco Mazzola
Sistemista informatico con oltre 20 anni di esperienza, specializzato in networking e sicurezza. Certificato in ambito IT, con focus sulla sicurezza delle infrastrutture. Freelance per aziende in Lombardia e Piemonte.