Scopri come x999xx, un nome eminente nel mondo del cybercrimine russo, vende accessi a reti aziendali compromesse.
La storia di x999xx, un noto “broker di accessi” russo che fornisce accessi iniziali a reti compromesse per vari gruppi di ransomware, ci offre uno spaccato significativo del mondo del cybercrimine. Nonostante molti cybercriminali cerchino di mantenere la loro vera identità separata dai loro pseudonimi, x999xx ha fatto poco per nascondere la sua identità reale, il che lo rende un caso di studio affascinante.
Nel febbraio 2019, l’azienda di intelligence cibernetica Flashpoint ha descritto x999xx come uno dei membri più prolifici di un forum di cybercrimine di lingua russa di alta gamma, noto come Exploit. Qui, x999xx spesso pubblicizza la vendita di credenziali d’accesso a reti aziendali violate e di database compromessi contenenti dati personali e finanziari. Per esempio, nell’agosto 2023, ha venduto l’accesso a un’azienda di software immobiliare e, solo un mese prima, aveva pubblicizzato la vendita di numeri di previdenza sociale, nomi e date di nascita di un intero stato degli USA.
Il traffico di x999xx non è limitato ai soli confini digitali; i suoi affari includono anche il settore sanitario e il retail. Poco dopo l’ottobre 2022, ha venduto l’accesso amministrativo a un fornitore di assistenza sanitaria negli USA e nel mese successivo ha messo in vendita dati presi dalla più grande azienda al dettaglio dell’Australia.
Alias: Maxnm
L’account più antico di x999xx risale al 2009, registrato sotto l’email maxnm@ozersk.com, associata a Ozersk, una città nella regione di Chelyabinsk in Russia. Questa email è stata utilizzata per creare un profilo sul social network russo Vkontakte sotto il nome di Maxim Kirtsov, il cui compleanno è segnato come il 5 settembre 1991.
Investigazioni aggiuntive rivelano che x999xx ha utilizzato anche l’alias Maxnm su diversi forum di cybercrimine russi, registrandosi su Zloy nel 2014 con l’email maxnmalias-1@yahoo.com e su altri forum come Spamdot, Exploit e Damagelab.
Anche l’email maksya@icloud.com è comparsa in vari contesti legati a Kirtsov; un account su imageshack.com sotto il nome x999xx includeva infatti screenshot di saldi bancari e log di chat con altri hacker. Questo email indirizzo fu inoltre usato per registrare il dominio ozersk[.]today, che un’analisi di Recorded Future evidenziò nel 2019 come server malevolo di Cobalt Strike.
Conferma dell’identità
Contattato via email, Kirtsov ha confermato di essere x999xx e ha minimizzato il suo ruolo nelle intrusioni con ransomware, sostenendo di essere principalmente interessato alla raccolta di dati. Sul forum Exploit ha spiegato di avere una preferenza per i dati emaillist piuttosto che per i dati medici sensibili, dichiarando di non pubblicare spam.
Nonostante l’apparente mancanza di precauzioni, x999xx segue un codice personale: non bersaglia nulla o nessuno nella sua patria. Il suo modus operandi è simile a quello di un altro noto broker di accessi russo, Wazawaka, noto al occidente come Mikhail Matveev, identificato come figura chiave in vari gruppi di ransomware.
Oltre a individuare singoli cybercriminali, le forze dell’ordine occidentali stanno adottando tattiche psicologiche per infiltrarsi nei servizi di cybercrimine e generare intrusione nella fiducia interna delle comunità criminali. Per esempio, l’operazione congiunta USA-UK del 2024 contro il gruppo ransomware LockBit ha utilizzato il loro sito di vergogna per le vittime per promuovere comunicati stampa sugli arresti, integrando un timer di conto alla rovescia che alla fine ha rivelato i dettagli personali del presunto leader del gruppo.
Questa strategia evidenzia l’importanza di combattere il cybercrimine non solo sul piano tecnico, ma influenzando anche la psiche degli stessi criminali, tagliando le loro risorse e diminuendo la loro operatività grazie alla perdita di fiducia e alla paura delle infiltrazioni.
Di seguito sono elencati i riferimenti utilizzati nell’articolo: