Nuovo tassello su operazione RaidForums, il sequestro di Yura assassini a noleggio e il report DDoS di Cloudflare
Buon sabato e ben ritrovato caro cyber User. Prendiamoci il fine settimana pasquale, per approfondire alcune cose capitate negli ultimi sette giorni.
In breve oggi ti parlo di:
Arrestati responsabili di Yura, sito web per assassini a noleggio
La situazione cyber della guerra con i GB rubati che aumentano
Ricerca Cloudflare su attacchi DDoS, migliorati alcuni cluster
Nuovo tassello sull'operazione di sequestro RaidForums
Arrestati responsabili di Yura, sito web per assassini a noleggio
La direzione rumena per le indagini sulla criminalità organizzata e il terrorismo (DIICOT) afferma di aver condotto un'operazione su richiesta degli Stati Uniti. L'operazione era atta a cercare dettagli sull'attività di Yura, una piattaforma sul dark web utilizzata per ingaggiare un assassino online. La sicurezza interna degli Stati Uniti e l'FBI indagano da anni sui casi relativi a questa operazione. Si tratta di una truffa, ma i suoi utenti sono seri riguardo al loro acquisto e intendono infliggere danni reali a persone reali. Sono state arrestate cinque persone, inoltre le autorità hanno condiviso il video delle fasi finali dell'arresto, visionabile su Youtube.
Si è creduto a lungo, sulla base dei log di chat intercettati, che lui o loro (i responsabili) risiedessero nell'Europa orientale e in Romania, che ha la reputazione di promuovere una cultura favorevole ai truffatori del web. Infine, anche se le autorità rumene e le agenzie statunitensi riescono a chiudere l'operazione di Yura, si è già rivelata abbastanza efficace da ispirare imitazioni sul web.
Agli utenti veniva richiesto di inviare il loro target, informazioni su come e quando avrebbero voluto che venisse ucciso e di pagare una commissione, in genere un prezzo che oscillava tra 5.000 e 20.000 dollari in Bitcoin. Il ricercatore di sicurezza informatica Monteiro ha accesso a questa "lista delle uccisioni", condivisa e analizzata anche dai giornalisti di Motherboard.
Alcuni dei nomi di quell'elenco appartengono a vittime di omicidi, uccise dalla persona che originariamente aveva effettuato l'ordine. Altri sanno che qualcuno nella loro vita li vuole morti, il che equivale a una forma particolare di abuso psicologico. Il gruppo rumeno di criminalità informatica Yura è stato dunque estinto dalle autorità rumene e dalle agenzie statunitensi. Il DIICOT afferma che si ritiene che i danni dell'operazione si aggirino intorno ai 500.000 euro, anche se bisogna considerare che qualora i truffatori conservassero Bitcoin raccolti nel 2016 (inizio dell'operazione criminale) fino a oggi, il valore sarebbe molto più elevato di questo considerato oggi.
Migliaia di persone hanno contattato Yura nel contesto dell'assunzione di un sicario e comunque all'invio del nome di qualcuno che vogliono morto. A giudicare dal proficuo modello di business, infatti è già online un altro sito, che sembra essere gestito da persone diverse e sostiene di servire principalmente la regione russa, è pienamente operativo ed è accessibile dal canale Telegram "Jabba Syndicate".
La situazione cyber della guerra con i GB rubati che aumentano
L'operazione denominata OpRussia continua ad accumulare materiale come risvolto cyber della guerra in corso in Ucraina. Il gruppo di hacker Anonymous ha preso di mira la Russia per l'invasione dell'Ucraina. Gli obiettivi precedenti includevano l'ISIS, la CIA e ora circa 437.500 e-mail appartenenti a società russe: Aerogas, Forest e Petrovsky Fort.
Il gruppo ha promesso che gli attacchi continueranno, prendendo di mira il governo Putin, fino a quando non verrà posto un fine alla sua "aggressione" contro Kiev.
In effetti la lista si allunga e il materiale rubato, ed esposto, a livello strategico russo, diventa di elevate quantità. Solo questa settimana, oltre i tre già citati Continent Express, Gazprom Linde Engineering, Technotec, Dept of Education of the Strezhevoy City District Administration, Ministry of Culture of the Russian Federation, Blagoveshchensk City Administration e Tver Governor's office.
Sono GB e TB di files che si accumulano e diventano di pubblico dominio. Ci vorrà tempo e competenze per poterlo analizzare. Ma conterrà quasi sicuramente, vicende di elevata importanza strategica. Per questo motivo, anche quando questo conflitto sarà terminato, non bisogna accantonare questi fatti cyber, paralleli alla guerra cinetica in atto. Bisogna bensì iniziare proprio in tempo di pace con l'analisi dei materiali a disposizione, affinché si possano ricostruire fatti e vicende storiche, utili proprio a porre le basi di decisioni da intraprendere anche in tempo di guerra.
Ricerca Cloudflare su attacchi DDoS, migliorati alcuni cluster
E' uscito il dettagliato report di Cloudflare sulla situazione degli attacchi DDoS nel web che passa per la loro infrastruttura, condotto anche per il tramite della somministrazione di un sondaggio al pubblico. Vediamone i punti più salienti.
Il primo trimestre del 2022 ha visto un enorme picco di attacchi DDoS a livello di applicazione, ma una diminuzione del numero totale di attacchi a livello di rete. Nel cyberspazio russo e ucraino, i settori più presi di mira erano i media online e i media di trasmissione.
La maggior parte del traffico di attacco proveniva da Stati Uniti, Russia, Germania, Cina, Regno Unito e Thailandia. A marzo 2022 si sono verificati più attacchi DDoS HTTP che in tutto il quarto trimestre 2021 (e nel terzo trimestre e nel primo trimestre). Gli Stati Uniti sono entrati in testa in questo trimestre come la principale fonte di tali attacchi.
Gli attacchi superiori a 10 Mpps (milioni di pacchetti al secondo) sono cresciuti di oltre il 300% su base trimestrale. I sistemi di protezione DDoS di Cloudflare hanno rilevato e mitigato automaticamente questi attacchi.
Per avere una traccia sul questionario che componeva il sondaggio, una domanda era sulla ricezione di una minaccia o una richiesta di riscatto con pagamento in cambio dell'arresto dell'attacco DDoS. In questo trimestre, si assistite a un calo degli attacchi DDoS di riscatto con solo 1 intervistato su 10 che ha segnalato un attacco basato sul riscatto economico; che numericamente significa una diminuzione del 28% su base annua e del 52% su base trimestrale.
RaidForums e l'arresto del founder
Dopo tutti i disservizi di febbraio e le ipotesi su incidenti personali e problemi di salute del famigerato "Omnipotent", così si faceva chiamare sul bulletin board online appena sequestrato, il fondatore e amministratore di RaidForums. Il posto di ritrovo storico per l'illegalità online e espressioni di bande criminali che rivendicano i propri operati.
Questa settimana infatti abbiamo appreso direttamente dalle autorità coinvolte, del sequestro della piattaforma e della conseguente cattura del 21enne portoghese in attesa di estradizione negli Stati Uniti per il processo legale a suo carico.
Della vicenda ne ho parlato sul mio blog, e ne parla anche Marco Govoni in Cronache Digitali, che vi invito a leggere perché uniche fonti (a livello mondo) dai contenuti utili al fine di ricostruire il futuro di RaidForums. Ma perché questa ripetizione? Devo aggiungere un dettaglio che ho trovato di recente.
In effetti è bene sottolineare prima come tutti i media specialistici, globali, in questi ultimi giorni abbiano coperto la notizia: si parla di questa vicenda in termini di dettagli catturati direttamente dagli atti di accusa e dagli annunci dell'operazione delle autorità investigative internazionali. Nessuno sembra essersi posto il problema del post RaidForums, come si evolve l'operazione online e cosa succede ora. Nessuno meno che me sul blog e Marco. E' giusto in questo caso fare collegamenti con ciò che accadde nel mese di febbraio, con la nascita di "BreachedForums" - considerato di fatto l'erede di RF.
Per completezza di informazione allega l'intera copertura a livello mondo sulla vicenda. Fonti: ZDNet, The Hacker News, Cyberscoop, Bleeping Computer, BBC News, Krebs on Security, Motherboard, Sky News, Justice.gov, Europol, iTnews - Security, Gizmodo, Pixel Envy, Cyber Kendra, Cyber Kendra, Security Affairs, Daily Dot, SearchSecurity, Law & Disorder – Ars Technica, Slashdot.
Il nuovo tassello
Fatta questa doverosa premessa, passiamo al dettaglio di oggi. Volevo cogliere l'occasione di questa newsletter per lasciare una traccia, che potrà rilevarsi utile nello studio di questo caso, anche a posteriori. Ho intercettato infatti un link di condivisione Mega Uploads, che gira da un po' di giorni abbastanza intensamente su Telegram, con dentro 816 GB in 35710 files inerenti backups di dati, MySQL e codici sorgente, precedentemente archiviati dalla piattaforma RaidForums (questo il collegamento finché sarà disponibile https://mega.nz/folder/HlhBnKZK#hk-tK3OxZYeifBb4PupiRw). Vista la mole di dati condivisa e resa pubblicamente accessibile, ho pensato doveroso sottolinearlo e tracciarne il dettaglio.
Comunicazione di servizio: benché consapevole dell'internazionalità dell'iniziativa, anche quest'anno ho deciso di far partecipare il mio blog inSicurezzaDigitale.com al European Cybersecurity Blogger Awards 2022. In questa fase fino al 6 maggio si possono effettuare le Nominations. Ti invito quindi, qualora ti facesse piacere, a compilare questo form direttamente organizzato da Eskenzi PR che gestisce l'evento, al fine di nominare il mio blog www.insicurezzadigitale.com nelle categorie:
The n00bs - Best New, Up-and-Coming Cybersecurity Blog
The Underdogs - Best Personal (non-commercial) Security Blog
I dati essenziali sono URL del blog e spunta nelle categorie. Seguirà nelle prossime settimane la fase successiva: il voto ai blog in nomination.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato e una serena Pasqua, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.