据攻击者本人称,Judische 通过勒索数据赚取了约 200 万美元。
今年早些时候,Judische发起了一系列攻击,侵入Snowflake的云数据库并窃取敏感数据。
据报道,多达165 家公司受到影响,其中包括 Ticketmaster、桑坦德银行和 Neiman Marcus。
黑客攻击给各个行业造成了严重后果。
Judische 最著名的攻击之一是 AT&T 数据泄露事件, 他和他的同伙约翰·宾斯 (John Binns) 窃取了数百万用户的信息。
由此产生的数据可以跟踪用户的通话和短信历史记录,让犯罪分子能够全面了解受害者的个人生活。
Judische 和 Binns 已开始实施SIM 卡互换欺诈活动。
犯罪分子获取受害者的电话号码并侵入他们的在线帐户。
Binns 在 AT&T黑客事件后在土耳其被捕,但 Judische 继续他的活动,增加了攻击次数。Judische 使用别名“zfa”、“catgwuirrel”、“scarlet”等。
Telegram 上的黑客消息非常混乱,对网络安全研究人员构成威胁。
一种策略是所谓的“脱轨”:将他的攻击归咎于其他人,以迷惑调查人员。
除了勒索之外,Judische 还积极与中间人互动,帮助他构建数据以进一步敲诈勒索。
Vinny Troia就是这些中间人之一,他为 Judische 提供出售被盗数据的服务。
Troia 与黑客的同伙保持着积极的通信,提供将被盗信息货币化的选择。
Judische的活动开始引起网络安全专家的关注。
其中一位专家、Mandiant 高级威胁分析师 Austin Larsen 集中精力寻找黑客可能留下的痕迹。
在LABScon网络安全会议上,Larsen 将展示他对黑客身份和位置的调查结果。
在调查过程中 , 拉森审查了 Judische 在 Telegram 上活跃的公开和私人信息。
渐渐地,研究人员开始了解朱迪什是谁以及他可能在哪里。
Judische 犯了一个根本性错误,导致调查人员得以追踪到他。
在录制一段据称 Judische 删除了受害者被盗数据的视频时,画面中显示了计算机的主机名,这有助于拉森追踪黑客服务器的位置。
使用Censys搜索引擎 ,Larsen 能够识别支持 Judische 活动的基础设施。
该服务器在乌克兰被发现,访问很快就被阻止。
基础设施的封锁减慢了黑客的速度,因为他现在无法再访问一些被盗数据,从而推迟了针对公司的进一步勒索企图。
Judische 在 Telegram 上发布了大量愤怒的信息,他抱怨乌克兰当局的干扰,并表示服务器因误会而被退回。
然而,不久之后,Mandiant 成功封锁了其他几台 Judische 服务器。
Larsen 和 Mandiant 团队的研究发现了数百个与 Judische 活动相关的妥协指标。
其中包括IP 地址、主机名和其他有助于跟踪黑客在各种平台上的行为的技术标签。
根据收集的数据,Mandiant 能够更全面地了解攻击者的身份。
Judische 是一名二十多岁的年轻人,据信来自加拿大,热衷于电子游戏和“猫女”(动漫中流行的陈词滥调),在黑客 Telegram 时可以连续几天保持清醒。
目前,来自Mandiant以及美国和其他国家执法机构的调查人员正在积极继续调查,协调努力,最终查明黑客身份并打击其活动。
原文始发于微信公众号(网络研究观):暗网上的国际象棋游戏
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论