Reporter della BBC per parlare con gli hacker

Quasi ogni giorno, il mio telefono pings con messaggi di hacker di tutte le strisce.

Il buono, il cattivo, il non così sicuro.

Ho riferito sulla sicurezza informatica da più di un decennio, quindi so che a molti di loro piace parlare dei loro hack, scoperte e scappatelle.

Circa il 99% di queste conversazioni rimane saldamente bloccato nei miei registri di chat e non porta a notizie. Ma un recente ping era impossibile da ignorare.

“Ehi. Questo è Joe Tidy del BBC Reporting su questa notizia cooperativa, giusto?” Gli hacker mi hanno inviato un messaggio su Telegram.

“Abbiamo alcune notizie per te”, hanno preso in giro.

Quando ho chiesto con cautela cosa fosse, le persone dietro l’account Telegram – che non avevano nome o immagine del profilo – mi ha dato la pista interna su ciò che sostenevano di aver fatto a M&S e alla cooperativa, in attacchi informatici che hanno causato interruzioni di massa.

Attraverso messaggi avanti e indietro nelle prossime cinque ore, mi è diventato chiaro che questi apparenti hacker erano parlanti inglesi fluenti e sebbene sostenessero di essere messaggeri, era ovvio che erano strettamente legati-se non intimamente coinvolti in-gli M&S e gli hack cooperativi.

Hanno condiviso prove dimostrando di aver rubato un’enorme quantità di informazioni private di clienti e dipendenti.

Ho verificato un campione dei dati che mi avevano dato – e poi lo ho eliminato in modo sicuro.

Erano chiaramente frustrati dal fatto che la Cooperativa non stesse cedendo alle loro richieste di riscatto, ma non dicevano quanti soldi in Bitcoin chiedevano al rivenditore in cambio della promessa che non avrebbero venduto o regalato i dati rubati.

Dopo una conversazione con il team di politica editoriale della BBC, abbiamo deciso che era nell’interesse pubblico riferire che ci avevano fornito prove che dimostravano di essere responsabili dell’hack.

Ho contattato rapidamente il team di stampa in cooperativa per un commento e in pochi minuti l’azienda, che inizialmente aveva minimizzato l’hacking, ha ammesso ai dipendenti, ai clienti e al mercato azionario per la significativa violazione dei dati.

Molto più tardi, gli hacker mi hanno inviato una lunga lettera arrabbiata e offensiva sulla risposta della cooperativa al loro hack e alla successiva estorsione, il che ha rivelato che il rivenditore ha schivato un hack più grave intervenendo nei minuti caotici dopo il suo computer I sistemi sono stati infiltrati. La lettera e la conversazione con gli hacker hanno confermato ciò che gli esperti nel mondo della sicurezza informatica hanno detto da quando hanno iniziato questa ondata di attacchi ai rivenditori: gli hacker provenivano da un servizio di criminalità informatica chiamata DragonForce.

Chi sono Dragonforce, potresti chiederti? Sulla base delle nostre conversazioni con gli hacker e una conoscenza più ampia, abbiamo alcuni indizi.

DragonForce offre affiliati cyber criminali vari servizi sul loro sito Darknet in cambio di un taglio del 20% di qualsiasi riscatto raccolto. Chiunque può iscriversi e utilizzare il proprio software dannoso per arrampicarsi sui dati di una vittima o utilizzare il proprio sito Web Darknet per la loro estorsione pubblica.

Questa è diventata la norma nel crimine informatico organizzato; È noto come ransomware-as-a-service.

Il più famigerato degli ultimi tempi è stato un servizio chiamato Lockbit, ma questo è quasi defunto in parte perché è stato rotto dalla polizia l’anno scorso.

Seguendo lo smantellamento di tali gruppi, è emerso un vuoto di potenza. Indica una rissa per il dominio in questo mondo sotterraneo, portando ad alcuni gruppi rivali che innovano le loro offerte.

DragonForce si è recentemente rinominato come un cartello che offre ancora più opzioni per gli hacker tra cui l’assistenza clienti 24 ore su 24, 7 giorni su 7, ad esempio.

Il gruppo ha pubblicizzato la sua offerta più ampia dall’inizio del 2024 e ha preso di mira attivamente le organizzazioni dal 2023, secondo esperti informatici come Hannah Baumgaertner, responsabile della ricerca presso Silobreaker, una società di protezione al rischio informatico.

“L’ultimo modello di Dragonforce include funzionalità come i pannelli amministrativi e client, strumenti di negoziazione di crittografia e ransomware e altro”, ha affermato Baumgaertner.

Come illustrazione stark del power-shoggle, il sito Web di Darknet di Dragonforce è stato recentemente violato e deturpato da una banda rivale chiamata RansomHub, prima di riemergere circa una settimana fa.

“Dietro le quinte dell’ecosistema ransomware sembra esserci un po ‘di spinto – che potrebbe essere per la posizione principale del” leader “o semplicemente per interrompere altri gruppi al fine di prendere più quote della vittima”, ha affermato Aiden Sinnott, ricercatore senior delle minacce della società di sicurezza informatica SecureWorks.

Il prolifico modus operandi di Dragonforce è quello di pubblicare sulle sue vittime, come ha fatto 168 volte dal dicembre 2024 – una società di contabilità di Londra, un produttore di acciaio dell’Illinois, una società di investimento egiziana. Eppure finora, Dragonforce è rimasto in silenzio sugli attacchi al dettaglio.

Normalmente silenzio radio sugli attacchi indica che un’organizzazione vittima ha pagato gli hacker per tacere. Dato che né Dragonforce, Co-op né M&S hanno commentato questo punto, non sappiamo cosa potrebbe accadere dietro le quinte.

Stabilire chi sono le persone dietro Dragonforce è complicato e non si sa dove si trovano. Quando ho chiesto il loro account Telegram su questo, non ho ricevuto una risposta. Sebbene gli hacker non mi dicessero esplicitamente che erano dietro i recenti hack su M&S e Harrods, hanno confermato un rapporto a Bloomberg che lo ha spiegato.

Certo, sono criminali e potrebbero mentire.

Alcuni ricercatori affermano che DragonForce ha sede in Malesia, mentre altri affermano la Russia, dove si pensa che molti di questi gruppi siano localizzati. Sappiamo che DragonForce non ha obiettivi specifici o agenda oltre a fare soldi.

E se Dragonforce è solo il servizio da utilizzare per altri criminali: chi sta tirando le corde e sceglie di attaccare i rivenditori del Regno Unito?

Nelle prime fasi dell’hack di M&S, fonti sconosciute hanno riferito al sito di Cyber ​​News Bleeping che l’evidenza indica un collettivo sciolto di criminali informatici noti come ragno sparso – ma questo non è ancora stato confermato dalla polizia.

Spider sparso non è in realtà un gruppo nel normale senso della parola. È più una comunità che si organizza su siti come Discord, Telegram e Forum – da cui la descrizione “sparsa” che è stata loro data da ricercatori di sicurezza informatica a Crowdstrike.

Sono noti per essere di lingua inglese e probabilmente nel Regno Unito, negli Stati Uniti e nei giovani-in alcuni casi adolescenti. Lo sappiamo dai ricercatori e dagli arresti precedenti. A novembre gli Stati Uniti hanno accusato cinque uomini e ragazzi ventenni e adolescenti per una presunta attività di ragno sparsa. Uno di questi è l’uomo scozzese di 22 anni Tyler Buchanan, che non ha fatto appello, e il resto è basato sugli Stati Uniti.

Tuttavia, le repressioni della polizia sembrano avere avuto scarso effetto sulla determinazione degli hacker. Giovedì, la Divisione Cyber ​​Security di Google ha emesso avvertimenti che stava iniziando a vedere attacchi sparsi a ragno ai rivenditori statunitensi ora.

Per quanto riguarda gli hacker con cui ho parlato su Telegram, hanno rifiutato di rispondere se fossero o meno sparsi. “Non risponderemo a questa domanda” è tutto ciò che hanno detto.

Forse in un cenno all’immaturità e alla natura in cerca di attenzione degli hacker, due di loro hanno detto che volevano essere conosciuti come “Raymond Reddington” e “Dembe Zuma” dopo i personaggi del thriller criminale statunitense la lista nera che coinvolge un criminale ricercato che aiuta la polizia a abbattere altri criminali in una lista nera.

In un messaggio per me, mi sono vantati: “Stiamo mettendo i rivenditori del Regno Unito nella lista nera”.