Vulnerabilità critiche in n8n, l’Italia nel mirino di attività di phishing e ransomware, le ultime dalla Cina

Nuovi attacchi in Italia, notificati data breach, offensive dalla Cina

 Vedi tutte
Threat Intelligence

La ragnatela criminale che unisce BreachForums, IntelBroker, ShinyHunters e Scatterd Spider

La community underground BreachForums, il suo ex amministratore IntelBroker, il gruppo ShinyHunters, che della community è stato uno dei principali animatori, e l’attivissima crew Scattered Spider si stanno rivelando con sempre maggiore nitidezza come elementi di un unico contesto criminale.

Una transazione in Bitcoin incastra IntelBroker

IntelBroker, al secolo Kai West, si è ufficialmente dimesso da amministratore di BreachForums a gennaio 2025, spiegando di non avere tempo sufficiente da dedicare a quell’attività. Contestualmente, sarebbe risultato molto coinvolto in altre community, come cracked[.]io e nulled[.]to.

A distanza di circa un mese, il venticinquenne britannico è finito nel mirino di un’operazione di Polizia internazionale ed è stato arrestato in Francia. Per cercare di identificarlo, è stato inviato un agente dell’FBI sotto copertura che lo ha indotto ad accettare un pagamento in Bitcoin, invece che in Monero. La relativa transazione è stata monitorata e ha condotto a un wallet collegato a un conto su Ramp e, successivamente, a un profilo Coinbase registrato con il nome reale Kai Logan West, Quest’ultimo risultava associato a una patente di guida britannica. Ulteriori accertamenti, incrociando diverse tracce digitali, supportate da metadati e documentazione KYC (Know Your Customer), hanno confermato l’identità del presunto criminale.

La notizia dell’arresto di IntelBroker è stata desecretata solo il 25 giugno. Sull’uomo, che è in attesa di estradizione verso gli Stati Uniti, pendono le accuse di accesso non autorizzato a sistemi informatici, traffico di dati rubati, estorsione e frode. Le pene previste per tali reati superano, complessivamente, i venti anni.

BreachForums chiude e riapre

Ad aprile, BreachForums è stato messo bruscamente offline. Sulla causa della chiusura improvvisa sono ancora in ballo diverse ipotesi. Il collettivo hacktivista filopalestinese Dark Storm Team avrebbe affermato di aver bloccato il forum tramite un attacco DDoS. Altre fonti avrebbero riferito che gli operatori del ransomware Qilin avevano causato l’interruzione come ritorsione per aver subito il ban da BreachForums.

Il 28 aprile, la homepage del forum mostrava un messaggio che indicava come una vulnerabilità 0-day di MyBB avesse esposto il sito a infiltrazioni da parte delle Forze dell’Ordine, motivo per cui era stato messo offline in attesa della risoluzione del problema.

Nei primi giorni di giugno il gruppo ShinyHunters ha rilanciato il forum e lo ha poi messo in vendita ad una cifra irrisoria ($2.500). Infine, il 22 giugno le Autorità francesi hanno arrestato in diverse regioni della Francia, quattro individui di età compresa fra i venti e i trent’anni, accusati di appartenere a ShinyHunters e di essere coinvolti in BreachForums.

Nonostante i pesanti interventi delle Autorità, il dominio .onion di BreachForums è stato ripristinato a fine luglio da un nuovo amministratore che si firma N/A.

Sp1d3rHunters e i data breach tramite Salesforce

A ShinyHunters sono associate una serie di compromissioni contro aziende top level come Adidas, Allianz Life, Qantas, Google, Workday, marchi del gruppo LVMH come Louis Vuitton, Dior e Tiffany & Co. e la popolare azienda di gioielleria danese Pandora. Grazie ad attacchi di vishing e tecniche di social engineering, i criminali sono riusciti ad accedere a istanze CRM Salesforce aziendali e, da lì, sono stati in grado di violare database e piattaforme interne.

Persone di riferimento di ShinyHunters avrebbero rivelato dettagli sulle campagne e sulle proprie strategie, confermando la stretta collaborazione con Scattered Spider, che avrebbe operato per loro come Initial Access Broker. La sinergia fra i due team, sancita anche dalla comparsa del nome comune Sp1d3rHunters, sarebbe alla base dei numerosi recenti attacchi che hanno abusato delle istanze Salesforce, ma anche della campagna che ha coinvolto Snowflake a luglio 2024.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way, ora parte dell’area di Threat Intelligence e Response di Telsy.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence