MageCart e Carbanak lavorano insieme?

Ott 23, 2019 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News, RSS, Scenario 0

L’analisi degli esperti di sicurezza mette in luce un collegamento tra uno dei gruppi specializzati in skimming e la gang di cyber-criminali russa.

Il panorama della cyber-security, a volte, somiglia terribilmente a quello della criminalità organizzata degli anni ’20 che abbiamo imparato a conoscere dai film di Hollywood.

Al posto di avere a che fare con personaggi come Al Capone e gli altri gangster resi immortali da libri e film, ci troviamo però ad avere a che fare con gang criminali la cui esistenza è certificata solo dalle ricostruzioni degli esperti di sicurezza che studiano i loro attacchi nel cyber-spazio.

Esattamente come succedeva all’inizio del secolo scorso, le connessioni tra i vari gruppi criminali hanno una certa importanza per chi cerca di comprendere le dinamiche del cyber-crimine.

L’ultima scoperta, resa pubblica da Kaspersky con un report pubblicato sul blog ufficiale della società di sicurezza, riguarda un collegamento tra due dei più pericolosi gruppi di pirati informatici degli ultimi anni: MageCart e Carbanak.

Fino a oggi, infatti, le carriere criminali dei due gruppi sembravano muoversi su due binari separati. Carbanak, attivo soprattutto in Russia, è conosciuto (questo l’ultimo articolo in cui ce ne siamo occupati) per gli attacchi portati a più riprese nei confronti di banche, bancomat, istituti di credito e gruppi commerciali.

Più complicata la storia di MageCart. Se in un primo momento si pensava che le azioni di skimming sui siti di e-commerce (il furto di credenziali per il pagamento attraverso carte di credito – ndr) potessero essere ascrivibili a un unico soggetto, con il tempo gli esperti di sicurezza si sono resi conto che MageCart è in realtà una sorta di “community” a cui partecipano diversi gruppi. Proprio uno di questi, identificato come “MageCart Group 5”, sembrerebbe avere dei legami piuttosto stretti con Carbanak.

MageCart 5 è specializzato in attacchi supply-chain, cioè nella violazione di servizi utilizzati dai siti di e-commerce che permettono ai pirati informatici di colpire più siti Internet di commercio elettronico attraverso la compromissione degli strumenti utilizzati per gestire le transazioni e i pagamenti.

Il collegamento tra i due gruppi affonda le sue radici in un’analisi eseguita da un gruppo di ricercatori che hanno individuato dei domini Internet (registrati in Cina) utilizzati sia per le operazioni di MageCart, sia per la diffusione del trojan Dridex, un malware utilizzato dal gruppo Carbanak con grande frequenza.

L’indagine ha evidenziato come i due gruppi abbiano usato le stesse infrastrutture (registrate con la stessa email) per diverse campagne di distribuzione dei loro malware.

Difficile capire quanto sia stretto il legame tra i due gruppi, ma la scoperta dei ricercatori conferma il fatto che i cyber-criminali operano fianco a fianco nello stesso ecosistema, spesso scambiandosi (o condividendo) le infrastrutture usate per gli attacchi.

Condividi l'articolo