Mandiant vs Judische: Una Partita a Scacchi nel Dark Web

Redazione RHC : 23 Settembre 2024 16:26

Secondo lo stesso aggressore, Judische ha guadagnato circa 2 milioni di dollari estorcendo dati. All’inizio dell’anno, Judische ha lanciato una serie di attacchi, hackerando i database cloud di Snowflake e rubando dati sensibili. Secondo alcuni rapporti, sono state colpite fino a 165 aziende, tra cui Ticketmaster, Santander Bank e Neiman Marcus. Gli hack hanno causato gravi conseguenze per vari settori.

Uno degli attacchi più importanti di Judische è stata la violazione dei dati di AT&T, in cui lui e il suo complice John Binns hanno rubato informazioni su milioni di utenti. I dati ottenuti potrebbero tracciare la cronologia delle chiamate e dei messaggi degli abbonati, fornendo ai criminali un quadro ricco della vita personale delle vittime. Judische e Binns hanno iniziato effettua do frodi di SIM Swapping. I criminali catturavano i numeri di telefono delle vittime per hackerare i loro account online.

Binns è stato arrestato in Turchia dopo l’attacco hacker ad AT&T, ma Judische ha continuato le sue attività, aumentando il numero degli attacchi. Judische ha utilizzato gli alias “zfa”, “catgwuirrel”, “scarlet” e altri. I messaggi dell’hacker su Telegram sono caotici e minacciosi per i ricercatori di sicurezza informatica. Una strategia è quella conosciuta come “detrace“: incolpa gli altri per i suoi attacchi per confondere gli investigatori.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Oltre al ricatto, Judische ha interagito attivamente con gli intermediari che lo hanno aiutato a strutturare i dati per ulteriori estorsioni. Uno di questi intermediari era Vinny Troia, che ha offerto a Judische i suoi servizi per la vendita di dati rubati. Troia ha mantenuto una corrispondenza attiva con i soci dell’hacker, offrendo opzioni per monetizzare le informazioni rubate.

Le attività di Judische hanno iniziato ad attirare l’attenzione degli esperti di sicurezza informatica. Uno degli esperti, l’analista senior delle minacce di Mandiant Austin Larsen, ha concentrato i suoi sforzi sulla ricerca di tracce che l’hacker potrebbe aver lasciato dietro di sé. Alla conferenza sulla sicurezza informatica LABScon, Larsen presenterà le sue scoperte sull’identità e sulla posizione dell’hacker.

Durante l’indagine, Larsen ha esaminato i messaggi pubblici e privati ​​di Judische su Telegram, dove era attivo. A poco a poco, il ricercatore iniziò a farsi un’idea di chi fosse Judische e dove potesse trovarsi.

Judische ha commesso un errore fondamentale che ha permesso agli investigatori di rintracciarlo. Durante la registrazione di uno dei video in cui Judische avrebbe cancellato i dati rubati della vittima, nell’inquadratura era presente il nome host del computer, che ha aiutato Larsen a tracciare la posizione del server dell’hacker. Utilizzando il motore di ricerca Censys, Larsen è stato in grado di identificare l’infrastruttura che supporta le attività di Judische. Il server è stato trovato in Ucraina e l’accesso è stato presto bloccato.

Il blocco dell’infrastruttura ha rallentato l’hacker, poiché ora non aveva più accesso ad una parte dei dati rubati, ritardando ulteriori tentativi di ricatto verso le aziende. Judische ha risposto con una tempesta di messaggi arrabbiati su Telegram, dove si è lamentato dell’interferenza delle autorità ucraine e ha affermato che il server sarebbe stato restituito a causa di un malinteso. Tuttavia, subito dopo, Mandiant è riuscita a bloccare molti altri server Judische.

La ricerca di Larsen e del team Mandiant ha identificato diverse centinaia di indicatori di compromesso relativi alle attività di Judische. Questi includevano indirizzi IP, nomi host e altri tag tecnici che aiutavano a tenere traccia delle azioni dell’hacker su varie piattaforme.

Sulla base dei dati raccolti, Mandiant è riuscita a farsi un quadro più completo dell’identità dell’aggressore. Judische è un giovane sulla ventina, che si ritiene venga dal Canada, appassionato di videogiochi e “cat woman” (un cliché popolare negli anime), e può stare sveglio per giorni interi mentre hackera Telegram. Al momento, gli investigatori, sia di Mandiant che delle forze dell’ordine negli Stati Uniti e in altri paesi, stanno continuando attivamente le indagini, coordinando i loro sforzi per identificare finalmente l’hacker e reprimere le sue attività.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.