В Тайланд е арестуван 39-годишен сингапурец, обвинен, че е хакер, отговорен за над 90 изтичания на данни.

Според базираната в Сингапур фирма за киберсигурност Group-IB, която е подпомогнала разследването на правоохранителните органи на Сингапур и Тайланд, заподозреният е активен на сцената на киберпрестъпленията от 2020 г. насам.

Първоначално той е използвал онлайн псевдонима „Altdos“, след което го е променил на „Desorden“ през 2021 г., „Ghostr“ през 2023 г. и „Omid16B“ през 2024 г.

Промяната на псевдонима му е затруднила проследяването на онлайн дейностите му, но Group-IB заяви, че стилът му на писане, форматът на онлайн публикациите му и предпочитанията към определени сайтове за споделяне на данни, чат приложения и целеви региони са позволили на разследващите да свържат атаките му.

„За да атакува жертвите, киберпрестъпникът е използвал инструменти за инжектиране на SQL като sqlmap и е експлоатирал уязвими сървъри с протокол за отдалечен работен плот (RDP), за да получи неоторизиран достъп до чувствителни данни“, заяви Group-IB. „След това киберпрестъпникът е инсталирал маяк на кракната версия на CobaltStrike, за да контролира компрометираните сървъри.“

Смята се, че хакерът е осъществил десетки атаки. Фирмата за сигурност е запозната с повече от 90 изтичания на данни, засегнали организации по целия свят. Макар че повечето от жертвите му са били организации в региона на APAC – той е описван като един от най-активните киберпрестъпници в този регион – той е бил насочен и към компании в Северна Америка и Европа.

Сред жертвите са били организации от сектори като здравеопазване, финанси, търговия на дребно, инвестиции в недвижими имоти, хотелиерство и ресторантьорство, електронна търговия, технологии, логистика и застраховане.

Хакерът е ексфилтрирал чувствителни данни от базите данни на набелязаната организация, след което се е опитал да убеди жертвата да плати откуп, за да избегне публикуването на данните.

Първоначално той не е обявявал нарушенията на сигурността на данните във форумите на тъмната мрежа, а вместо това е уведомявал медиите или регулаторите за защита на данните, за да окаже натиск върху жертвата. В някои случаи той се свързвал и с клиентите на жертвата и дори криптирал данните ѝ, за да увеличи шансовете да получи плащане.

По-късно започнал да обявява изтичането на информация в хакерски форуми, където предлагал да продаде откраднатите файлове на значителна цена – минимумът бил 10 000 долара, според Bangkok Post.

Тайландският информационен канал съобщава, че заподозреният е идентифициран само като Чинвей и че полицията е успяла да открие местоположението му в Тайланд въз основа на профила в X, използван от хакера.

Смята се, че той е спечелил значителна сума пари от продажбата на данните, като разследващите са открили много луксозни стоки в резиденцията, където е бил арестуван.