skip to Main Content

Cybercrime, rubato il database di Swarmshop: guerra tra bande o c’è altro?

di Pierguido Iezzi

Il “card shop” underground warmshop è stato colpito da criminal hacker che ne hanno sottratto il database

Il “card shop” underground denominato Swarmshop è stato colpito da criminal hacker che hanno sottratto il database del sito, composto da dati relativi a carte di pagamento rubate, prima di pubblicarlo online. Questo è il risultato del report stilato dai ricercatori di cybersecurity di Group-IB, che hanno aggiunto che il database sarebbe stato postato su un altro forum underground rivale. I card shop sono forum online del cybercrime in cui è possibile vendere e comprare dati relativi a carte di pagamento rubate. Gli esperti sostengono che il database in questione conterrebbe record relativi a 623.036 carte provenienti da diversi Paesi come (Brasile, Canada, Cina, Francia, Messico, Arabia Saudita, Singapore, Regno Unito e Stati Uniti, con quest’ultimo che rappresenta il 63% delle carte totali).

Il contenuto del database rubato

Il database rubato contiene anche 498 set di credenziali di conti bancari online e quasi 70mila set di numeri della U.S. Social Security (ente corrispettivo al nostro INPS, tramite il quale è possibile disporre di pagamenti da e verso la Pubblica Amministrazione americana) e della Canadian Social Insurance. A completare il “pacchetto” ci sono anche 12.344 set di dati relativi agli amministratori del card shop, degli acquirenti e dei venditori, inclusi nomi utenti, password, dettagli di contatto, attività di vendita e bilanci aggiornati. L’analisi di sicurezza del database ha rilevato come le informazioni fossero nuove, perlomeno a giudicare dai timestamp dell’ultima attività registrata. Se gli hacker criminali hanno dimostrato una cosa, è la totale assenza di etica. Non sono infatti nuovi casi come questo, in cui una gang del cybercrime, o un “lupo solitario”, colpisce un rivale per delegittimarlo o destabilizzarlo.

Anche i criminali cibernetici hanno problemi di cybersecurity

Quale modo migliore per accedere a nuovi strumenti di hacking, dati, carte di pagamento, PII (personally identifiable information, ovvero informazioni personalmente identificabili) e altri articoli di valore che violare i sistemi informatici dei ladri stessi? Per questo non ci sorprende aver visto diversi episodi con data leak contro Swarmshop. Questo è un marketplace di medie dimensioni, basato in Russia, attivo almeno da aprile 2019. Secondo i dati raccolti, la sua userbase sarebbe 2,5 volte più grande rispetto a gennaio 2020, con un volume totale di pagamenti completati in aumento da 485.617 a 623.036 transazioni. A marzo, data dell’hackeraggio, la cifra totale depositata nei conti degli acquirenti ammontava a $18.145,73. Gli utenti dello shop, peraltro, non tengono grosse cifre sui loro conti, aggiungendo liquidità solo ove necessario per completare dei pagamenti. I criminali informatici, comunque, hanno problemi di cybersecurity come qualsiasi altra azienda si affacci al mondo digitale. In modo indiretto e paradossale, questo è forse il miglior spot pubblicitario che dimostra quanto sia importante investire nel settore.

Swarmshop era da tempo nel mirino di qualcuno

Se da un lato la sorgente del furto di dati rimane poco chiara, i record esposti dimostrano che due utenti del card shop avevano provato a iniettare dello script dannoso, cercando vulnerabilità sul sito nel modulo di contatto (per richiedere informazioni sul servizio). Al momento è impossibile determinare se i due eventi siano legati o meno. Swarmshop, peraltro, era già entrato nel mirino di attori del cybercrime in passato, a gennaio del 2020. Allora, qualcuno aveva affermato di voler vendere il database utenti del negozio, corredando l’offerta a uno screenshot dal pannello di amministrazione del sito stesso. Non sappiamo se i due eventi siano collegati e se siano riconducibili alle stesse persone.

Guerra tra bande di criminal hacker o ricerca di gloria?

Anche se il responsabile del data leak non è stato confermato, è molto probabile che si tratti di un regolamento di conti fra criminal hacker. È innegabile che l’attacco ha arrecato un enorme danno reputazionale a Swarmshop, uno dei card shop più utilizzati, dato che tutti gli utenti e i venditori hanno perso i propri dati. Ad oggi (12 aprile 2021), sembra infatti improbabile che riaprirà i battenti “virtuali”. Non è nemmeno da escludere la ricostruzione dei fatti per la quale questa offensiva sarebbe motivata esclusivamente dalla voglia di “gloria”, ovvero di diventare famoso all’interno della “piccola” cerchia degli hacker.

L’episodio conferma ancora una volta l’importanza della cybersecurity

Questo evento ci dimostra ancora una volta come tutti i business, legittimi o meno, abbiano gli stessi problemi in termini di cybersecurity. L’onore nel mondo della criminalità organizzata è più un mito della tradizione che un fatto tangibile. Se figure molto qualificate dal profilo tecnico e con una buona disponibilità (teorica) di risorse sono cadute vittima di un attacco di questa portata, dovrebbe essere facile comprendere quanto sia importante prevedere da subito una strategia difensiva e un piano per il disaster recovery nel caso in cui la prevenzione non sia più sufficiente.

Non abbassiamo la guardia!

Back To Top