Il 30 gennaio 2025 registra un nuovo colpo alle infrastrutture del cybercrime: l’FBI, insieme alle autorità europee, ha sequestrato i domini di Cracked e Nulled, due tra i più grandi forum di hacking e compravendita di dati rubati. Con oltre 5 milioni di membri attivi, questi marketplace digitali operavano come centri di scambio per credenziali violate, strumenti di hacking e servizi fraudolenti. L’ultima indagine di Brian Krebs, ci aiuta a capire chi si nascondeva dietro la piattaforma.

Operazione Talent: l’azione delle forze dell’ordine

L’operazione, battezzata Talent, non si è limitata al sequestro dei forum: ha colpito anche i servizi di pagamento e le infrastrutture che li sostenevano. Tra i domini sequestrati figura Sellix, il processore di pagamenti di Cracked, oltre a due servizi di anonimizzazione fondamentali per gli utenti delle piattaforme: StarkRDP e rdp.sh. Questi ultimi permettevano di affittare server virtuali, garantendo anonimato agli operatori del dark web.

Chi c’era dietro Cracked e Nulled?

Dall’analisi dei dati emerge un intreccio di identità digitali e connessioni con aziende reali. Uno degli amministratori chiave di Cracked operava con gli pseudonimi “FlorainN” e “StarkRDP”, e sembra avere legami con una società tedesca, la 1337 Services GmbH, registrata ad Amburgo. Secondo i registri aziendali, questa entità è controllata da Florian Marzahl (32 anni) e Finn Alexander Grimpe (28 anni).

Il nome di Grimpe è particolarmente interessante: nei forum underground era conosciuto come “Finndev”, ovvero il fondatore di Nulled. Le indagini mostrano che Grimpe aveva precedenti esperienze nel settore dell’e-commerce, gestendo piattaforme come Shoppy.gg, che offriva servizi simili a quelli di Sellix.

Le tracce digitali: connessioni pericolose

Le investigazioni di Intel 471 hanno rivelato che Grimpe ha utilizzato l’email [email protected] per registrarsi su diversi forum di cybercrime, tra cui Raidforums (sequestrato dall’FBI nel 2022) e vDOS, un servizio DDoS-for-hire smantellato nel 2016. Parallelamente, Marzahl avrebbe utilizzato l’indirizzo [email protected] su forum simili, spesso con password riutilizzate in più account.

Un ecosistema di cybercrime

L’indagine ha evidenziato che Cracked e Nulled non erano semplicemente due forum di scambio: erano parte di un vero e proprio ecosistema criminale. Questi marketplace funzionavano in simbiosi con servizi di pagamento, hosting e anonimizzazione per garantire ai propri utenti strumenti avanzati per attività illecite.

Cosa succede ora?

Nonostante il sequestro dei domini, alcuni dei principali attori di questa operazione non sono stati arrestati. Tuttavia, l’FBI e Europol hanno dichiarato che le indagini sono ancora in corso. Curiosamente, dopo l’operazione, il canale Telegram di StarkRDP ha rassicurato i clienti che i loro dati erano al sicuro e che avrebbero semplicemente riaperto sotto un nuovo nome.

La chiusura di Cracked e Nulled rappresenta un duro colpo al cybercrime, ma la storia insegna che queste community si ricostruiscono rapidamente. Il gioco del gatto e del topo tra hacker e forze dell’ordine è tutt’altro che finito. Resta da vedere quanto tempo impiegheranno i cybercriminali a rialzarsi e sotto quale nuovo nome torneranno a operare.

Fonti:

• Krebs on Security
• Dipartimento di Giustizia USA
• Europol