Kelvin Security, il gruppo di cyber criminali specializzati in data breach ha colpito di nuovo in Italia, pubblicando i dati rubati da un’azienda italiana. Chi sono e come agiscono.
Kelvin Security: gli attacchi più recenti
Per approcciarsi alla storia di questo gruppo di attaccanti è utile prendere spunto da un episodio reale, accaduto pochi giorni fa, e da prendere come contesto. Qualche giorno fa in BreachForums (forum dell’underground hacking specializzato nella rivendita di dati rubati) è comparso un nuovo post dell’utente KevinSecurity: nel post gli attaccanti mettono in vendita i dati di Norgine Italia, un’azienda farmaceutica con sede a Milano.
Nel post viene annunciato che il gruppo è riuscito a esfiltrare 3,15 GB di dati dal sistema: in questi 3 GB sarebbero presenti documenti di varia tipologia, natura e formati (PDF, DOCX, XLS ecc…). Viene inoltre fornito un link tramite il quale è possibile contattare il gruppo e accordarsi sul prezzo del dataset. Lo stesso post è presente nel canale Telegram del gruppo.
Non finisce qua: tempo fa hanno colpito un fornitore di Vodafone Italia. Nel solito post di rivendicazione – marketing, annunciavano di avere in disposizione 310 GB di dati, contenenti circa 300.000 file relativi a Vodafone Italia.
Per approfondire > Vodafone Italia data breach: i dati in vendita
Altre vittime di Kelvin Security sono stati E-City Group, RP Company, Filomeno Wi-FI ecc… ma anche il Ministero delle infrastrutture, colpito nell’Agosto di quest’anno.
A scanso di equivoci comunque è utile sottolineare che Kelvin Security è un gruppo che colpisce anche in Italia, ma non ha fatto del nostro paese l’unico campo di battaglia: uno dei breach più clamorosi messi a segno dal gruppo ha riguardato infatti l’azienda tedesca BMW. Avvenuto nel 2020, quel data breach permise agli attaccanti di mettere in vendita i dati di oltre 384.000 clienti del gigante tedesco.
Kelvin Security: cosa sappiamo
Kelvin Security è un gruppo di black hacker: opera nell’illegalità a fine di profitto. Sono specializzati nell’esfiltrazione di dati aziendali (ma anche da enti pubblici) per rivenderli poi nel dark web o direttamente tramite il proprio canale Telegram. Si suppone che il gruppo si sia formato nel 2020: quantomeno è nel 2020 che si trovano le prime tracce dell’attività di questo gruppo.
Il loro business principale è la vendita di dati rubati, ma non solo: rivendono anche accessi, interi database rubati e PoC per sfruttare vulnerabilità. Ad esempio, quest’anno hanno messo in vendita gli accessi (sia per condurre exploit sia semplici credenziali di login rubate) alla rete del Ministero dei trasporti. Accessi che, secondo loro, avrebbero dato all’acquirente l’accesso ad oltre 36000 documenti riservati.
La rivendita di exploit e credenziali di login li rende “Broker di accesso”, come vengono chiamati in gergo tecnico quei cyber attaccanti che forniscono l’accesso iniziale a reti bersaglio.
Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Sono frequentatori abituali di Breach Forum, successore del defunto Raid Forums. Nato nei primi mesi di quest’anno, Breach Forum è diventata una delle principali community di black hacking più frequentata per la rivendita e lo scambio di dati rubati.