Duro colpo al mercato delle password trafugate

In un’operazione transatlantica contro il cybercrime, le autorità europee e americane hanno sequestrato server e attrezzature, effettuato 37 perquisizioni in Italia e fermato un’organizzazione criminale che operava nel commercio di identità virtuali rubate

In un’operazione transatlantica contro il cybercrime, le autorità europee e americane hanno sequestrato server e attrezzature, effettuato 37 perquisizioni in Italia e fermato un’organizzazione criminale che operava nel commercio di identità virtuali rubate. Si stima che il gruppo abbia lucrato circa 2 milioni di euro attraverso la vendita di questi dati.

Il sequestro

Genesis Market, un noto mercato di hacker utilizzato per acquisire credenziali compromesse e dati trafugati, è stato sequestrato dalle forze dell’ordine statunitensi ed europee. L’operazione di sequestro, chiamata “Operation Cookie Monster“, non è stata ancora annunciata dall’FBI, ma i domini di Genesis Market mostrano un avviso che indica che i funzionari delle forze dell’ordine statunitensi hanno eseguito un mandato di sequestro. Secondo il messaggio, “i domini di Genesis Market sono stati sequestrati dall’FBI in base a un mandato di sequestro emesso dalla Corte distrettuale degli Stati Uniti per il distretto orientale del Wisconsin”. Inoltre, le forze dell’ordine di Regno Unito, Europa, Australia, Canada, Germania, Polonia e Svezia hanno collaborato con l’FBI nel sequestro del mercato nero.

Mercoledì scorso, la National Crime Agency del Regno Unito ha annunciato che l’operazione di sequestro del Genesis Market ha portato all’arresto di 120 persone e alla perquisizione di 200 luoghi in tutto il mondo. In particolare, la NCA ha affermato di aver arrestato 19 sospetti utenti del sito nel Regno Unito, tra cui due uomini di 34 e 36 anni, che sono attualmente detenuti con l’accusa di frode e uso improprio di sistemi informatici. Solo in Italia sono state svolte 37 perquisizioni. Inoltre, l’FBI ha collaborato alle operazioni di sequestro del sito e ha fornito al sito Web di notifica della violazione dei dati “Have I Been Pwned” milioni di indirizzi e-mail e password ottenuti dal Genesis Market. Gli utenti di Internet possono quindi utilizzare questo servizio per verificare se le loro credenziali sono state compromesse.

Cosa offriva Genesis Market

Dal 2017, Genesis Market è stato un mercato online esclusivamente su invito, specializzato nella vendita di credenziali, cookies e dati rubati da sistemi compromessi. Le informazioni includevano dettagli come indirizzi IP, cookie di sessione, plug-in e informazioni sul sistema operativo. Questi dati consentivano agli aggressori di impersonare i browser delle vittime per accedere ai loro servizi bancari online e di abbonamento come Amazon e Netflix, senza la necessità di conoscere le password della vittima o i token. Prima della chiusura, Genesis ha dichiarato che le informazioni sarebbero state mantenute aggiornate per tutto il tempo in cui l’accesso al dispositivo compromesso fosse stato mantenuto.

In altre parole, i clienti di Genesis Market non effettuano un acquisto singolo di informazioni rubate in data sconosciuta, ma pagano per un accesso continuativo alle informazioni della vittima. Questo abbonamento alle informazioni della vittima è in grado di fornire informazioni aggiornate poiché queste informazioni cambiano nel tempo.

Fino al suo sequestro, il numero di dispositivi infetti in vendita sul Genesis Market continuava ad aumentare. Nel corso del 2021 il sito ha visto l’aggiunta di oltre 20.000 nuovi bot al mese. Anche se il mercato ha subito un temporaneo calo a metà del 2022, il numero di bot disponibili per la vendita è ulteriormente aumentato a marzo del 2023, superando i 450.000.

Diverse azioni criminali collegate al market

Secondo i rapporti, il defunto Genesis Market è stato collegato a milioni di incidenti informatici a livello globale, spinti da motivazioni finanziarie. Nel giugno 2021, gli hacker che violarono il colosso del gaming Electronic Arts rivelarono di aver acquistato un bot da 10 dollari da Genesis Market, che permise loro di accedere a un account Slack aziendale e ottenere l’accesso ai sistemi della società.

Ci si aspetta di assistere ad una vera e propria migrazione di venditori e clienti verso altri mercati illegali. Ci sono molti altri mercati illeciti che vendono informazioni e credenziali, anche se non alla stessa scala del Genesis Market. Qualora un nucleo significativo di amministratori di Genesis Market riesca ad eludere le forze dell’ordine, potrebbero staccarsi e creare una nuova versione del sito.

I precedenti

La chiusura di Genesis Market è avvenuta poco dopo che le autorità hanno ottenuto l’accesso al forum di hacking BreachForums e arrestato il suo amministratore, nonché il sequestro dell’anno scorso del mercato SSNDOB, utilizzato per il commercio di informazioni personali di milioni di americani, compresi i numeri di previdenza sociale.

Autore: Marco Marra