Forze dell’ordine provenienti da 19 paesi hanno unito le forze in un’operazione di portata globale per abbattere una delle più grandi piattaforme di phishing-as-a-service al mondo, conosciuta come LabHost. Coordinata da Europol, questa operazione di un anno ha portato alla compromissione dell’infrastruttura di LabHost.
Durante il periodo compreso tra il 14 aprile e il 17 aprile, sono stati eseguiti 70 mandati di perquisizione in tutto il mondo, culminando nell’arresto di 37 individui sospettati di coinvolgimento nelle attività di LabHost. Tra di essi, quattro sono stati arrestati nel Regno Unito, incluso lo sviluppatore originale della piattaforma.
La piattaforma LabHost, precedentemente disponibile sul web aperto, è stata definitivamente chiusa. Questa indagine internazionale è stata condotta dalla polizia metropolitana di Londra del Regno Unito, con il supporto del Centro europeo per la criminalità informatica (EC3) di Europol e della Joint Cybercrime Action Taskforce (J-CAT).
Il modello di cybercrime-as-a-service è emerso come una lucrativa impresa criminale, consentendo agli attori delle minacce di affittare o vendere strumenti, competenze o servizi ad altri criminali informatici per perpetrare attacchi informatici. LabHost, sebbene consolidato tra i gruppi di ransmware, è diventato uno degli strumenti principali per i criminali informatici in tutto il mondo, offrendo per un abbonamento mensile kit di phishing, infrastrutture di hosting e funzionalità interattive per ingannare le vittime.
L’indagine ha rivelato l’esistenza di circa 40.000 domini di phishing collegati a LabHost, con circa 10.000 utenti in tutto il mondo. Con una tariffa mensile media di 249 dollari, LabHost offriva una gamma di servizi illeciti personalizzabili e implementabili con pochi clic. A seconda dell’abbonamento, ai criminali veniva offerta una gamma crescente di obiettivi da parte, tra gli altri, di istituti finanziari, servizi di recapito postale e service provider di telecomunicazione. Labhost ha offerto un menu di oltre 170 siti Web falsi che forniscono pagine di phishing convincenti, tra cui i suoi utenti potevano scegliere.
Questa piattaforma offriva un’ampia gamma di servizi illeciti personalizzabili e implementabili con pochi clic, rendendo il crimine informatico più accessibile anche per gli hacker meno esperti, ampliando in modo significativo il pool di autori di minacce.
Ciò che ha reso LabHost particolarmente distruttivo è stato il suo strumento integrato di gestione delle campagne denominato LabRat, una funzionalità che ha permesso ai criminali informatici di monitorare e controllare gli attacchi in tempo reale. LabRat è stato progettato per acquisire codici e credenziali di autenticazione a due fattori, consentendo agli attori criminali di aggirare le misure di sicurezza avanzate.
L’operazione ha coinvolto una vasta gamma di autorità di applicazione della legge, tra cui la polizia federale australiana, la polizia nazionale finlandese, l’FBI degli Stati Uniti e molte altre. Una grande quantità di dati è stata acquisita durante l’indagine, ora nelle mani delle forze dell’ordine per supportare ulteriori attività investigative internazionali mirate ai criminali informatici collegati a questa piattaforma di phishing.
