Il sito web in questione era una sorta di negozio online in cui era possibile comprare credenziali di accesso rubate ad account compromessi. I dati offerti erano numerosi, dai classici nickname e password fino a dati molto più delicati e pericolosi come i token di sessione. La gamma di servizi comprendeva accessi a diverse applicazioni e piattaforme, persino i conti bancari.
Genesis Marketplace è attivo dal 2018 ed è una piattaforma su cui i cybercriminali avevano la possibilità di acquistare dati rubati di ogni genere, perfino filtrandoli in base alla provenienza geografica e alle proprie necessità e finalità.
Questo marketplace non si è limitato soltanto a vendere combinazioni di nome utente e password, ma ha offerto ai criminali informatici anche l’accesso ai cookies degli utenti e al fingerprinting del browser, così da permettergli di bypassare protezioni come l’autenticazione a due fattori. Secondo il Dipartimento di Giustizia, i dati venduti su Genesis provenivano da “oltre 1,5 milioni di computer compromessi in tutto il mondo”.
Da quanto trapelato, grazie a Genenis Market i criminali informatici potevano acquisire l’identità digitale di un utente a prezzi compresi tra i 5 e i 200 dollari, così da poter accedere a quell’account per rubare fondi, foto personali e documenti sensibili, o inviare documenti ufficiali a suo nome.
Dopo il sequestro di Genesis Market, grazie alla collaborazione con HavelBeenPwned.com le autorità consentono agli utenti di verificare facilmente se le loro credenziali di accesso sono state rubate, così da capire come comportarsi per proteggere la propria sicurezza.
L’operazione, chiamata “Cookie monster” ha coinvolto 16 Paesi, è stata condotta da FBI e polizia olandese. Hanno partecipato anche Europol e Eurojust e, per quanto riguarda l’Italia, la Procura della Repubblica di Roma. Sono stati arrestati 119 gestori del sito.
Nel nostro Paese risultano coinvolte migliaia di credenziali, individuate dagli specialisti del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia.
Sul solo territorio italiano, sono stati emessi dalla procura 37 decreti di perquisizione personale, locale ed informatica, che il Cnaipic ed i Centri operativi regionali hanno eseguito nei confronti di clienti della piattaforma. Le perquisizioni hanno condotto al sequestro di diversi dispositivi informatici, l’analisi dei quali consentirà ora agli investigatori di comprendere con esattezza quale sia stato l’utilizzo, da parte degli indagati delle credenziali illecite acquistate, e che tipo di informazioni riservate – ed a quale livello di segretezza – siano state compromesse.
(S.F.)
