Banca Popolare di Sondrio: Red Hot Cyber rivela di aver trovato in vendita, nel dark web, i dati dei dipendenti e l’accesso al mail server

Banca Popolare di Sondrio hacked?

La redazione di Red Hot Cyber ha reso noto di aver trovato nel dark web un post nel quale un anonimo attaccante rivendica di aver compromesso l’infrastruttura IT della Banca Popolare di Sondrio. Il post è stato pubblicato su XSS, un noto forum dell’underground hacking di lingua russa.

Il post su XSS relativo al breach della Banca Popolare di Sondrio
Fonte: Red Hot Cyber

Nel post l’attaccante rivendica di avere nella propria disponibilità l’accesso al server di posta dell’Istituto Bancario, le email e le password aziendali e i dati personali di 4270 dipendenti. Il post è corredato con tre sample: email e credenziali di accesso. Tra gli account email disponibili, 650 sono indirizzi @popso.it, gli altri indirizzi email afferiscono a clienti e aziende clienti della banca.

Non finisce qui: nel post l’attaccante dichiara di mettere a disposizione anche la vulnerabilità utilizzata per fare irruzione nell’infrastruttura IT della Banca Popolare di Sondrio.

Nessuna violazione: è una fake news. Parola della Banca Popolare di Sondrio

La redazione di Red Hot Cyber ha fatto sapere di avere ricevuto una comunicazione da parte della Banca Popolare di Sondrio. In questa, l’istituto bancario dichiara che:

“grazie alla tempestiva comunicazione della Agenzia Nazionale della Cybersecurity, ricevuta già in prima mattinata, abbiamo potuto avviare immediatamente le necessarie indagini al fine di chiarire l’origine di tutte le indicazioni presenti nel messaggio pubblicato”.

Le indagini, conclude la comunicazione, hanno portato a ritenere il post di rivendicazione come una fake news.

“Si sottolinea che il server di posta elettronica della Banca, citato nel post, è quello del cloud di Microsoft e, dunque, se ci fossero particolari criticità sarebbero emerse in modo più esteso di quanto riferito; si conferma, invece, che non risulta alcuna violazione del suddetto servizio cloud”.

Non solo:

“A fronte delle evidenze riferite ai n. 3 indirizzi di posta elettronica menzionati nel post segnalato, è stata immediatamente verificata, in prima battuta, l’inesattezza delle password indicate provandole direttamente sui sistemi centralizzati di autenticazione della Banca”.

Sul sito Red Hot Cyber è consultabile l’intera comunicazione ricevuta dalla redazione.

Gli attaccanti si spostano su nuovi forum, il cyber crimine si riorganizza

Una parte interessante del post di rivendicazione è quella in cui l’attaccante spiega di essere un nuovo utente di XSS, ma di essere un “veterano” dei breach. Di sè dice, infatti, di essere un

“un vecchio membro di RF e BF”.

RF e BF altro non sono che Raid Forums e Breach Forums. Raid Forum ufficialmente si presentava come forum di hacking, ma fin dalla sua fondazione nel 2015, presentava quasi esclusivamente contenuti illegali. Non a caso Raid Forum è stato tra i primi e più grandi mercati neri di dati rubati.

Raid Forum, che era arrivato a contare oltre 530.000 membri, è stato chiuso da una task force di forze dell’ordine europee e statunitensi, mentre l’FBI dispose il sequestro del dominio.

"This domain has been seized": la chiusura di Raid Forum

Contestualmente fu arrestato il suo fondatore, un ragazzo all’epoca 21enne.

Dalle ceneri di RF è nato poi Breach Forums. Uno degli utenti di Raid Forum, che si faceva chiamare Pompopurin, ha fondato Breach Forums appena tre settimane dopo la chiusura di RF e dell’arresto del suo fondatore. Arrivato a circ 340.000 membri, BF è stato chiuso pochi giorni fa, il 15 Marzo 2023 in dettaglio, quando Pompopurin è stato arrestato. L’FBI è riuscita a risalire all’identità del fondatore e a verificare che Pompopurin era, in effetti, l’amministratore del forum grazie ai dati ritrovati su un database violato. Al momento un nuovo utente, Baphomet, ha rilevato i poteri di Pompopurin, disabilitato il sito e sta operando la migrazione.

Tornando quindi a quanto dichiarato dall’utente che ha pubblicato il post sulla Banca Popolare di Sondrio, ne possiamo trarre la conseguenza che le chiusure di Breach Forums e Raid Forums hanno comportato la migrazione verso altri lidi (XSS tra i primi) di molti vecchi utenti.