Il gruppo di hacker conosciuto come “Keeper” ha creato un network interconnesso per rubare i dati delle carte di credito da più di 570 siti di e-commerce. Dal 2017 a oggi, hanno guadagnato circa 7 milioni di dollari in criptovalute rivendendo queste informazioni sensibili sul dark web.

Secondo uno studio pubblicato in data 7 luglio da Gemini Advisory, una società di threat intelligence, il gruppo hacker ha creato 64 domini per portare avanti gli attacchi e 73 domini per l’esfiltrazione. Questi domini sono stati utilizzati per ottenere i dati delle carte di credito degli utenti da numerosi siti di e-commerce di più di 55 Paesi.

Questi domini presentavano delle pagine di login identiche a quelle del sito di e-commerce originale e, quando l’utente inseriva i propri dati, utilizzavano un malware per rubarli. 

Compromesse oltre 184.000 carte di credito

I Paesi più colpiti sono gli Stati Uniti, il Regno Unito e l’Olanda.

Il report stima che, tra il luglio 2018 e l’aprile 2019, circa 184.000 carte di credito siano state compromesse a causa degli attacchi di Keeper. Tuttavia, il numero esatto è sconosciuto. Al momento della pubblicazione di questo articolo, il gruppo hacker è ancora attivo.

Ameet Naik, esperto di sicurezza presso la società di cybersecurity PerimeterX, ha dichiarato a Cointelegraph:

"Gli attacchi di digital skimming e Magecart rappresentano un business molto redditizio per i gruppi hacker. Operazioni su larga scala come queste possono compromettere centinaia di migliaia di carte di credito anche senza attaccare store di grandi dimensioni.

Le società devono cercare di prevenire gli attacchi Magecart mettendo in sicurezza le loro infrastrutture, utilizzando l’autenticazione multi-fattoriale ovunque sia possibile e applicare soluzioni di protezione lato client che possano rilevare e bloccare questi attacchi in tempo reale."

Gemini ritiene che, dato che sul dark web il prezzo mediano d'acquisto per ogni carta di credito compromessa è di 10 dollari, il gruppo potrebbe aver ottenuto oltre 7 milioni di dollari in criptovalute rivendendo i dati. Non sono noti ulteriori dettagli su quali criptovalute fossero accettate come forma di pagamento.

La gang è ancora attiva

I ricercatori ritengono che non solo Keeper sia ancora attivo, ma che stia migliorando le proprie tecniche di attacco.

Secondo uno studio condotto della società di cybersecurity Cyble Research Team, il 29 maggio sono stati messi in vendita sul dark web i dati relativi a più di 80.000 carte di credito. Questi dati sembrano essere stati raccolti da vari Paesi in tutto il mondo.

A maggio di quest'anno, il Congresso degli Stati Uniti ha ammesso di star faticando per rimanere al passo con gli hacker sul dark web. Guillermo Christensen, socio dello studio legale Ice Miller, ammira il talento degli informatici che operano illegalmente:

"Questi criminali sono sempre un passo avanti a noi. [...] Francamente, è molto difficile trovare persone che siano qualificate tanto quanto questi hacker, gente che possa smontare i loro piani e rintracciarli."