Le forze dell’ordine statunitensi e olandesi hanno annunciato di aver smantellato 39 domini e i relativi server nel quadro degli sforzi per interrompere una rete di marketplace online originaria del Pakistan, ad essere responsaibile è un noto gruppo noto come Saim Raza.
L’operazione, avvenuta il 29 gennaio 2025, è stata denominata Operation Heart Blocker.
Operation Heart Blocker e l’arresto dei membri del gruppo Saim Raza
La vasta rete di siti in questione vendeva kit di phishing e strumenti per facilitare le frodi ed era gestita dal gruppo Saim Raza almeno dal 2020, conosciuto anche come HeartSender.
Questi strumenti venivano poi utilizzati da gruppi criminali organizzati transnazionali per colpire diverse vittime negli Stati Uniti nell’ambito di vari schemi di compromissione delle email aziendali (BEC – Business Email Compromise), causando perdite per oltre 3 milioni di dollari.
“I siti gestiti da Saim Raza operavano come marketplace in cui venivano pubblicizzati e facilitati la vendita di strumenti come kit di phishing, pagine di truffa ed estrattori di email, spesso usati per costruire e mantenere operazioni fraudolente”, ha dichiarato il Dipartimento di Giustizia degli Stati Uniti (DoJ).
Gli esperti del Dipartimento di Giustizia degli Stati Uniti (DoJ), hanno poi aggiunto che: “Non solo Saim Raza ha reso questi strumenti ampiamente disponibili su Internet, ma ha anche formato gli utenti finali su come utilizzarli contro le vittime, fornendo link a video tutorial su YouTube che spiegavano come eseguire schemi fraudolenti con questi programmi dannosi, rendendoli accessibili anche a criminali privi di competenze tecniche.”
Gli strumenti che ha utilizzato il gruppo fraudolento Saim Raza
Gli strumenti pubblicizzati su questi marketplace permettevano inoltre di raccogliere credenziali di accesso delle vittime, che venivano poi utilizzate per portare avanti ulteriori frodi, ha aggiunto il DoJ.
In una dichiarazione congiunta, la polizia olandese ha affermato che il gruppo criminale vendeva vari programmi per facilitare le frodi digitali, utilizzabili dai cybercriminali per inviare email di phishing su larga scala o rubare credenziali di accesso e si stima che il servizio avesse migliaia di clienti prima di essere chiuso.
Gli utenti possono verificare se sono tra le vittime di furto di credenziali visitando il sito “www.politie[.]nl/checkjehack” e inserendo il proprio indirizzo email.
Questa entità di criminali informatici, nota anche come The Manipulaters, è stata smascherata per la prima volta dal giornalista di sicurezza indipendente Brian Krebs nel maggio 2015; un rapporto di DomainTools dello scorso anno ha evidenziato falle nella sicurezza operativa, indicando che diversi sistemi associati a questi criminali informatici sono stati compromessi da malware di tipo stealer.
“Sebbene non abbiano la sofisticazione tecnica di molti altri grandi fornitori di cybercriminalità, la loro caratteristica più rilevante è di essere stati uno dei primi marketplace dedicati al phishing a integrare orizzontalmente il proprio modello di business, espandendo le operazioni su diversi negozi con marchi separati”, ha dichiarato l’azienda Domaintools.
Successivamente Domaintools ha poi aggiunto che: “Le prove suggeriscono che nuovi membri si siano uniti al gruppo e che almeno un membro iniziale di The Manipulaters lo abbia lasciato. Sembra che abbiano una presenza fisica in Pakistan, incluse le città di Lahore, Fatehpur, Karachi e Faisalabad.”
La fine di Saim Raza e la chiusura di molti siti web fraudolenti
Questa operazione segue la chiusura di altri marketplace criminali online, come Cracked, Nulled, Sellix e StarkRDP, nell’ambito di un’azione coordinata delle forze dell’ordine denominata Talent, avvenuta verso la fine di gennaio 2025.
Questa operazione rappresenta un duro colpo per la criminalità informatica organizzata, evidenziando come le forze dell’ordine internazionali stiano rafforzando la loro capacità di contrastare le minacce digitali su scala globale; la continua evoluzione delle tecniche di frode online dimostra che la lotta contro il crimine informatico richiede un impegno costante e una collaborazione sempre più stretta tra governi, aziende e cittadini.
