Europol conferma la chiusura dei market sul Dark Web Alphabay e Hansa


Operazione congiunta con le autorità statunitensi. I due market ospitavano migliaia di venditori e offrivano merci illegali, da armi a droghe.

Dopo indiscrezioni e rumors, arriva la conferma: le forze di polizia hanno messo i sigilli a due dei più grandi market sul Dark Web dedicati alla vendita di merci illegali tra cui droga e armi.

Il primo a cadere è stato Hansa Market, che la polizia olandese era riuscita a infiltrare sin dal 20 giugno prendendo, di fatto, il controllo dei server. Gli agenti, però, hanno aspettato un mese per chiudere il sito attendendo le mosse dei loro colleghi d’oltreoceano.

FBI e DEA, infatti, stavano stringendo il cerchio sull’obiettivo più ambito: Alphabay. Un market sul Dark Web che secondo gli investigatori aveva raggiunto dimensioni dieci volte superiori a quelle di Silk Road, lo storico market smantellato nel 2013.

Stando a quanto dichiarato dal portavoce dell’FBI McCabe, Alphabay ospitava 350.000 “prodotti” offerti da 40.000 venditori e vantava più di 420.000 utenti.

Le indagini, durate anni, hanno permesso agli investigatori di individuare la persona a capo dell’organizzazione nel dicembre del 2016. Si tratterebbe di Alexandre Cazes, un 25enne di nazionalità canadese ma residente in Tailandia.

Dalle parti dell’FBI sono riusciti a individuarlo grazie a una serie di errori compiuti dallo stesso Cazes e, in particolare, seguendo le tracce legate a un indirizzo di posta elettronica ([email protected]) che per un breve periodo del 2014 era visibile nelle email di benvenuto inviate ai nuovi iscritti al sito.

Alphabay Hansa

L’annuncio della chiusura di Alphabay è stata data in pompa magna da tutti i vertici del Federal Bureau of Investigation. Effettivamente, potrebbe essere l’operazione più importante dopo l’arresto di Al Capone.

Partendo da lì, gli investigatori hanno ricostruito la mappa di account email e PayPal controllati da Cazes, riuscendo a collegarlo ad Alpha02, il nickname usato dal venticinquenne per gestire Alphabay.

A gestire Alphabay insieme a lui, stando agli atti del tribunale, una decina di persone con ruoli diversi che variavano dalla moderazione dei forum alla gestione dei rapporti con i clienti insoddisfatti. Il ruolo di “Admin”, però, lo mette al vertice della piramide.

L’arresto in Tailandia, avvenuto lo scorso 5 luglio, ha portato all’ultima conferma. Come riporta l’FBI, al momento dell’arresto da parte della polizia tailandese Cazes era al suo computer, collegato all’account di amministrazione di Alphabay.

Lo stesso giorno, le autorità canadesi e statunitensi hanno sequestrato i server del market, mettendo fine a qualsiasi attività sul sito. La reazione di clienti e venditori non si è fatta aspettare e, secondo quanto riporta l’Europol, buona parte degli “orfani” di Alphabay si sono immediatamente spostati su Hansa, ignorando il fatto che i server fossero sotto il controllo della polizia olandese. Nella giornata di ieri, infine, è scattato il sequestro anche per i server di Hansa Market.

Ora partiranno i processi, anche se quello nei confronti di Alexander Cazes non si terrà. Il giovane canadese è stato infatti trovato morto nella sua cella a Bangkok lo scorso 12 luglio, a una settimana dal suo arresto. Apparentemente si tratterebbe di suicidio, ma sono in corso indagini per verificare la causa della morte.



Articoli correlati

Altro in questa categoria


Il gruppo DarkHotel usa un nuovo trojan per le sue azioni di spionaggio


Gli hacker di solito usano le reti Wi-Fi degli alberghi per colpire obiettivi di alto livello e rubare segreti industriali. Ora hanno cambiato strategia.

Il gruppo DarkHotel fa parte di quella “elite” tra i pirati informatici che viene associata al concetto di APT (Advanced Persistent Threat) che di solito indica le campagne di spionaggio collegate all’attività di servizi segreti od organizzazioni di alto livello.

Come spiegano i ricercatori di BitDefender, i DarkHotel sono una vecchia conoscenza degli esperti di sicurezza e sarebbero attivi nel settore del cyber-spionaggio da quasi 10 anni.

Di solito i pirati prediligono colpire sfruttando reti Wi-Fi negli alberghi, utilizzando exploit zero-day per compromettere i dispositivi delle loro vittime e garantirsi l’accesso a tutte le informazioni che possono ritenere utili.

Secondo quanto riportato dai ricercatori BitDefender, però, il gruppo avrebbe adesso cambiato strategia e ora starebbe sfruttando semplici tecniche di ingegneria sociale, usando però un trojan decisamente complesso che gli analisti descrivono nel dettaglio in questo report.

Il loro obiettivo sarebbe quello di agire in maniera più prudente, evitando che i loro attacchi possano essere individuati e analizzati dalle società di sicurezza.

Il vettore di attacco adottato in questa nuova campagna è una semplice email con allegato un file (winword.exe) che è in realtà un archivio auto-estraente RAR SFX il cui contenuto è crittografato con un algoritmo XOR.

Nulla di particolarmente complesso, almeno fino a quando non viene eseguito. All’avvio, infatti, il malware visualizza un documento di Word per non suscitare sospetti nella potenziale vittima. Si tratta di un file di testo con i contatti di alcune organizzazioni internazionali con sede in Corea del Nord.

Mentre sullo schermo compare il documento, però, il malware esegue un primo controllo per verificare se viene eseguito da una cartella specifica (WinStartupDir) e, solo nel caso in cui l’esito del controllo è positivo, procede con la sua attività contattando per prima cosa il server Command and Control.

Ed è qui che le cose si fanno davvero complicate. Prima di contattare il server, il trojan crea un file che contiene le informazioni sul computer infetto. Procede poi a decrittare l’indirizzo Internet del server e utilizza una serie di accorgimenti per camuffare le comunicazioni in modo che sembrino innocue trasmissioni http.

DarkHotel

Lo schema riassume i controlli e le comunicazioni tra il vettore inziale di attacco e il server Command and Control prima che venga dato l’avvio all’installazione del trojan.

A questo punto le informazioni sul computer infetto vengono trasmesse al server C&C e il malware rimane in attesa di una risposta. Secondo i ricercatori di Bitdefender, questo passaggio sarebbe una sorta di verifica per capire se il dispositivo colpito sia quello giusto.

Se il PC compromesso è di qualche interesse, l’attacco procede. In caso contrario il trojan si cancella automaticamente e l’attacco viene terminato in modo che il malware non sia individuato.

Nel caso in cui l’attacco procede, il passo successivo prevede il download e la decodifica di un secondo modulo del malware, che viene camuffato in modo da apparire come un componente della libreria OpenSSL.

Dopo una serie di ulteriori controlli sull’ambiente in cui è in esecuzione, il trojan avvia il download di un ulteriore modulo che contiene il payload vero e proprio, che secondo gli analisti è estremamente simile a quelli già usati in passato dal gruppo DarkHotel.



Articoli correlati

Altro in questa categoria


Falla in un client Ethereum: rubati 30 milioni di dollari


L’attacco ha preso di mira alcuni portafogli “collettivi” gestiti con Parity. Un gruppo di White Hat interviene e salva altri 70 milioni a rischio furto.

L’ennesimo furto di cripto-valuta prende di mira gli utenti che utilizzano Ethereum, una delle monete digitali in maggiore crescita nelle ultime settimane.

Questa volta, però, i pirati informatici non hanno “bucato” i sistemi informatici di una piattaforma o il database di un sito, ma sfruttato una vulnerabilità nel client Parity 1.5. Bilancio della rapina: 30 milioni di dollari in Ethereum, che i pirati informatici hanno dirottato su un loro wallet.

La notizia fa scalpore per due motivi. Il primo è che il client in questione è stato rilasciato solo lo scorso gennaio e non si tratta quindi di un software “vecchio” od obsoleto. Anzi: Parity è la società gestita dal creatore di Ethereum Gavin Wood.

Ethereum rubati

Parity ha immediatamente comunicato il problema ai suoi utenti, ma l’attacco dei pirati è stato decisamente fulmineo.

Il secondo motivo è che l’attacco ha preso di mira proprio i wallet che dovrebbero offrire un maggior livello di sicurezza. Si tratta dei cosiddetti Multi-sig wallet, cioè dei “portafogli” che sono gestiti da più account e che possono essere paragonati a un conto corrente che richiede le firme congiunte dei titolari per qualsiasi movimento.

Nel caso dei Multi-sig wallet, in realtà, è richiesta semplicemente che le operazioni siano autorizzate dalla maggioranza dei titolari, per esempio 3 su 4, un metodo che molti utenti utilizzano per avere un maggior controllo e limitare il rischio (sigh) che qualcuno metta le mani sul loro wallet usando una sorta di sistema di autenticazione multifattore.

Nella maggior parte dei casi, infatti, gli account titolari del Multi-sig wallet sono registrati dalla stessa persona, che li controlla però da dispositivi diversi, per esempio uno smartphone e un computer. In questo modo un eventuale pirata informatico, per accedere al wallet, dovrebbe riuscire a compromettere tutti e due i dispositivi.

Peccato che nel caso di Parity l’uso di client Multi-sig abbia portato esattamente al risultato opposto. E le cose sarebbero anche potute andare peggio. A mitigare il danno è stato infatti il provvidenziale intervento di un gruppo di ricercatori ed esperti di sicurezza che in un post su Reddit si sono presentati come The White Hat Group.

Il gruppo, una volta scoperta la falla, ha provveduto a sfruttarla per svuotare i conti degli account vulnerabili e trasferirli su un loro wallet prima che lo facessero i pirati. Risultato: ora sul wallet del White Hat Group ci sono 70 milioni di dollari in Ethereum che gli hacker intendono restituire ai legittimi proprietari.

Ethereum rubati

Certo che visualizzare un conto simile sul proprio wallet, anche sapendo che è solo una situazione temporanea, deve fare un certo effetto…

Parity ha annunciato che i suoi sviluppatori stanno lavorando a un aggiornamento che permetterà di correggere la vulnerabilità e The White Hat Group si occuperà di creare i Multi-sig account per restituire i soldi agli utenti che sono riusciti a “mettere in sicurezza”.



Articoli correlati

Altro in questa categoria


Hacker ruba 7 milioni di dollari alla piattaforma CoinDash


L’attacco è stato attentamente pianificato per colpire durante il lancio della piattaforma e impossessarsi del denaro degli investitori.

Colpo grosso nel mondo delle cripto-valute: un ignoto hacker sarebbe infatti riuscito a intascare la bellezza di 7 milioni di dollari in Ethereum (ETH) dirottando i versamenti nel corso del lancio di una nuova piattaforma di investimento online chiamata CoinDash.

L’attacco ha colpito CoinDash proprio il giorno della sua ICO (Initial Coin Offering), una modalità di lancio simile a quella usata dalle società che si quotano in borsa (Initial Public Offering o IPO) ma che nel mondo delle cripto-valute funziona in maniera un po’ diversa.

La ICO, in buona sostanza, è una forma di finanziamento per avviare una nuova cripto-valuta che avviene nel seguente modo: le persone interessate versano denaro sotto forma di un’altra cripto-valuta (in questo caso la moneta scelta era Ethereum) e ottiene in cambio dei token, cioè delle quote che potranno essere convertite nella nuova moneta una volta che è avviata.

CoinDash, in particolare, si proponeva l’obiettivo di andare oltre la semplice creazione di una cripto-valuta, ma di creare una piattaforma di trading con caratteristiche “social”. Insomma: qualcosa che ha suscitato molto interesse tra gli appassionati del settore.

Peccato che abbia suscitato anche l’interesse di uno o più pirati informatici che hanno pensato bene di sfruttare l’ICO per riempirsi le tasche. E stando a quanto si capisce dalle (scarse) spiegazioni fornite sul sito di CoinDash, lo hanno fatto nel modo più semplice: sostituendo l’indirizzo originale per il pagamento con il loro.

In pratica, 3 minuti dopo l’avvio dell’ICO, tutti i versamenti effettuati dagli investitori sono finiti nelle tasche degli hacker. Quando i gestori del sito si sono accorti di quello che stava succedendo e hanno bloccato il tutto, avevano già messo le mani sulla bellezza di 7 milioni di dollari in Ethereum.

Hacker CoinDash

Avrebbe dovuto essere la trionfale partenza di una nuova piattaforma di investimenti online, si è trasformata in uno dei più profittevoli furti digitali.

In attesa di capire come i pirati abbiano potuto violare con tale facilità il sito di una piattaforma di trading che (almeno in teoria) dovrebbe avere misure di sicurezza adeguate per evitare episodi del genere, resta il nodo legato al destino di quanti hanno versato il denaro e rischiano di trovarsi con un pugno di mosche.

Stando a quanto si legge sul comunicato diffuso da CoinDash, i promotori della piattaforma hanno intenzione di dare i token promessi anche a chi ha inviato la sua quota all’indirizzo sbagliato ma, visto che questo tipo di attività non sono regolamentate in alcun modo, averne la certezza è impossibile.

C’è anche da dire che, visto l’esordio, il CEO di CoinDash Alon Muroch da oggi non potrà certo contare di attrarre investitori facendo leva sull’affidabilità della piattaforma.



Articoli correlati

Altro in questa categoria


Più di 750 siti dirottati su pagine Web infette


Sarebbe stato un lavoro dall’interno che ha permesso ai cyber-criminali di modificare il name server di 751 domini facendoli “puntare” a un unico sito.

Per parecchie ore i visitatori di 751 siti Internet sono stati sistematicamente dirottati su un sito che ospitava malware in grado di compromettere i computer che vi si collegavano.

È successo lo scorso 7 luglio e le vittime facevano tutte riferimento a Gandi.net, un servizio di hosting con sede in Francia che gestisce più di 2 milioni di siti Internet.

Come si legge nel rapporto pubblicato dalla stessa azienda, il problema si sarebbe verificato a causa di un’intrusione ai danni di uno dei partner tecnici di Gandi.net, al quale è affidata la gestione del registro relativo a 34 domini di primo livello.

I pirati informatici, a quanto pare, sono riusciti a ottenere le credenziali di accesso al portale del partner di Gandi.net (nel rapporto non viene specificato il nome) e hanno potuto così modificare le impostazioni che gli hanno permesso di dirottare il traffico a loro piacimento.

L’attacco è cominciato alle 9:04 ora italiana ed è proseguito per 40 minuti. I tecnici di Gandi.net hanno ricevuto le prime segnalazioni alle 11:57 e stando alla timeline fornita nel rapporto, hanno agito con invidiabile rapidità.

siti dirottati

I tecnici di Gandi.net hanno reagito a tempo di record per risolvere la situazione, inviando report periodici sull’evoluzione dell’attacco. Considerato il numero di siti coinvolti, deve essersi trattato di un vero lavoraccio.

Già dopo due solo minuti avevano infatti individuato il collegamento sospetto, che i pirati non avevano evidentemente mascherato in alcun modo. Alle 12:10 avevano anche modificato le credenziali di accesso per bloccare eventuali ulteriori tentativi di intrusione e alle 13:50 la task-force aveva già ripristinato le impostazioni originali.

La rapidità dei tecnici ci Gandi.net, però, non ha impedito che un numero imprecisato di visitatori finissero sul sito contenente codice malevolo. A rallentare il ritorno alla normalità hanno infatti contribuito fattori tecnici, come il tempo necessario perché i DNS ricominciassero a indirizzare correttamente le richieste.

In tutto, secondo le stime di Gandi.net, ci sarebbero volute tra le 8 e le 11 ore. Un periodo di tempo piuttosto lungo, durante le quali un numero imprecisato di computer sono stati dirottati verso un sito che ospitava il famigerato Rig Exploit Kit, un sistema in grado di analizzare le caratteristiche del dispositivo che si collega al sito e utilizzare numerosi exploit mirati per avviare l’installazione di malware.

Secondo la società svizzera Switch, che ha analizzato nel dettaglio l’attacco in questo report, l’Exploit Kit è stato usato per diffondere il Bot Neutrino, un trojan in circolazione da qualche tempo che è in grado di rubare informazioni sensibili dal computer infetto, utilizzare il dispositivo per portare attacchi DDoS a comando e avviare l’installazione di ulteriore malware.



Articoli correlati

Altro in questa categoria


Katyusha Scanner è il nuovo tool per pirati informatici


Progettato per eseguire scansioni e individuare i server vulnerabili ad attacchi SQL Injection, il software è in vendita per 500 euro sul Dark Web.

C’è una nuova minaccia in circolazione ed è di quelle che possono provocare grossi problemi. Si chiama Katyusha Scanner e, stando a quanto riporta Catalin Cimpanu su Bleeping Computer, sarebbe già disponibile sul Dark Web al prezzo di 500 dollari.

Katyusha Scanner è un tool di hacking che Cimpanu descrive come un ibrido tra un classico scanner per SQL Injenction e uno strumento utilizzato dai penetration tester (i ricercatori che mettono alla prova i sistemi di sicurezza delle aziende – ndr) chiamato Anarchi Scanner.

Stando a quanto riportato da un esperto di sicurezza contattato da Cimpanu, Katyusha Scanner sarebbe una sorta di “coltellino svizzero” nel settore dell’SQL Injection. Il kit permetterebbe non solo di individuare i siti vulnerabili, ma anche di sfruttare le eventuali falle individuate, caricare file sul sito o scaricare il database.

Katyusha Scanner, inoltre, mette a disposizione diverse modalità di controllo: dalla classica interfaccia Web a un sistema remoto tramite Telegram che permette di utilizzare le comunicazioni crittografate per inviare istruzioni al programma.

Katyusha Scanner

Controllare i tuoi tool di hacking attraverso un client di chat che supporta anche la crittografia end to end? Non ha prezzo!

L’autore di Katyusha Scanner offre il suo software sia in vendita (con una versione “lite” a soli 250 dollari) sia nella formula “as a service” (cioè a noleggio)  e il suo successo sarebbe dovuto a un servizio clienti particolarmente efficiente, che offre assistenza per sfruttare al meglio le funzionalità del programma.

Il successo dello strumento, oltre che dalla sua efficacia, dipenderebbe anche dal grande interesse che i pirati informatici stanno dimostrando negli ultimi mesi nell’individuare siti Web vulnerabili che possono compromettere per utilizzarli come “infrastruttura” per le loro attività.



Articoli correlati

Altro in questa categoria