Специализирующаяся на разведке угроз KELA профилировала одно из самого заметных в киберподполье брокера данных IntelBroker, который известен своей активностью на breachforums[.]
Как сообщает KELA, IntelBroker вышел на сцену киберпреступности в конце 2022 года, впервые засветившись на BreachForums и быстро завоевав репутацию в качестве оператора ransomware, а затем уже и актора, ответственного за множество утечек данных.
Со временем он перешел на руководящую роль, взяв на себя управление breachforums[.] В его портфолио - взломы известных организаций, таких как AMD, Europol и Cisco, нацеленные на кражу конфиденциальных данных с последующим выкупом.
IntelBroker выделяется в киберпреступном мире, сочетая техническую экспертизу с сильным акцентом на OpSec. Его подход включает использование уязвимостей в качестве основного вектора атаки, одновременно используя передовые инструменты анонимности.
Анализ KELA выявил множество OSINT-следов, проливающих свет на цифровой профиль и операционную экосистему IntelBroker:
1. Согласно исследованию, с именем IntelBroker связано несколько адресов электронной почты, но только четыре из них были идентифицированы как принадлежащие злоумышленнику: к одной был привязан аккаунт в Twitter, две других на proton.me оказались в утечках BreachForums и BreachForums V2, а четвертая - вела по ложному следу.
При этом одна из протоновских почт была использована при регистрации учетных записей на различных сервисах, включая Amazon, Vimeo, Dailymotion, Keybase, X и Dropbox.
2. Анализ утечки BreachForums выявил более широкий диапазон задействуемых VPN-сервисов. Mullvad — наиболее часто используемый, за ним следует TunnelBear. Другие сервисы, такие как NordVPN, VeePN и VPNAsia, использовались в гораздо меньшей степени.
Значительное количество подключений от VPN-сетей исходило из Сербии, что соответствует заявленному местоположению IntelBroker. Другие геолокации, включая Эшберн (Вирджиния) и Амстердам.
3. Неожиданным, но интригующим элементом цифрового следа IntelBroker является его активность в сообществе Minecraft, где, как было обнаружено, у него было как минимум две учетные записи: ClamAV (от 2020 года, указал Сербию в качестве местоположения) и Thick (от 2010 года).
В октябре 2024 года IntelBroker с Thick контактировал с каналом YouTube The Duper Trooper по теме видео Minecraft.
Данные из утечки Minecraft связали учетную запись с IP, зарегистрированным во Флориде (не с VPN).
Однако остается неясным, был ли IntelBroker активен в этой учетной записи с момента ее создания или приобрел ее позже.
4. KELA исследовала первоначальные посты IntelBroker и выявила потенциальную связь с хакерской группой AgainstTheWest, известной своими атаками на китайские организации.
До конца отдеанонить IntelBroker им, конечно, не удалось, но это, в очередной раз, подчеркивает изощренность современных киберпреступников, сочетающих технические навыки со стратегической анонимностью.
Более глубокие технические подробности - в отчете: https://www.kelacyber.com/blog/intelbroker-unmasked-kelas-in-depth-analysis-of-a-cybercrime-leader/
Как сообщает KELA, IntelBroker вышел на сцену киберпреступности в конце 2022 года, впервые засветившись на BreachForums и быстро завоевав репутацию в качестве оператора ransomware, а затем уже и актора, ответственного за множество утечек данных.
Со временем он перешел на руководящую роль, взяв на себя управление breachforums[.] В его портфолио - взломы известных организаций, таких как AMD, Europol и Cisco, нацеленные на кражу конфиденциальных данных с последующим выкупом.
IntelBroker выделяется в киберпреступном мире, сочетая техническую экспертизу с сильным акцентом на OpSec. Его подход включает использование уязвимостей в качестве основного вектора атаки, одновременно используя передовые инструменты анонимности.
Анализ KELA выявил множество OSINT-следов, проливающих свет на цифровой профиль и операционную экосистему IntelBroker:
1. Согласно исследованию, с именем IntelBroker связано несколько адресов электронной почты, но только четыре из них были идентифицированы как принадлежащие злоумышленнику: к одной был привязан аккаунт в Twitter, две других на proton.me оказались в утечках BreachForums и BreachForums V2, а четвертая - вела по ложному следу.
При этом одна из протоновских почт была использована при регистрации учетных записей на различных сервисах, включая Amazon, Vimeo, Dailymotion, Keybase, X и Dropbox.
2. Анализ утечки BreachForums выявил более широкий диапазон задействуемых VPN-сервисов. Mullvad — наиболее часто используемый, за ним следует TunnelBear. Другие сервисы, такие как NordVPN, VeePN и VPNAsia, использовались в гораздо меньшей степени.
Значительное количество подключений от VPN-сетей исходило из Сербии, что соответствует заявленному местоположению IntelBroker. Другие геолокации, включая Эшберн (Вирджиния) и Амстердам.
3. Неожиданным, но интригующим элементом цифрового следа IntelBroker является его активность в сообществе Minecraft, где, как было обнаружено, у него было как минимум две учетные записи: ClamAV (от 2020 года, указал Сербию в качестве местоположения) и Thick (от 2010 года).
В октябре 2024 года IntelBroker с Thick контактировал с каналом YouTube The Duper Trooper по теме видео Minecraft.
Данные из утечки Minecraft связали учетную запись с IP, зарегистрированным во Флориде (не с VPN).
Однако остается неясным, был ли IntelBroker активен в этой учетной записи с момента ее создания или приобрел ее позже.
4. KELA исследовала первоначальные посты IntelBroker и выявила потенциальную связь с хакерской группой AgainstTheWest, известной своими атаками на китайские организации.
До конца отдеанонить IntelBroker им, конечно, не удалось, но это, в очередной раз, подчеркивает изощренность современных киберпреступников, сочетающих технические навыки со стратегической анонимностью.
Более глубокие технические подробности - в отчете: https://www.kelacyber.com/blog/intelbroker-unmasked-kelas-in-depth-analysis-of-a-cybercrime-leader/
