ZenoX en cybersikkerhedsstartup fra Dfense Group , der specialiserer sig i kunstig intelligens mod digitale trusler, har gennemført en detaljeret undersøgelse af bruddet på 3,4 millioner kreditkort med kodenavnet "JOKER". Hændelsen, der er blevet klassificeret som det største finansielle databrud hidtil i 2025, blev tilskrevet den cyberkriminelle gruppe B1ACK'S STASH, kendt for at handle med finansielle data på det mørke web. Analysen afslørede, at ondsindede aktører forbedrer deres spil ved at kombinere avanceret phishing, e-handelskompromittering og kunstig datagenerering for at maksimere effekten og det økonomiske afkast.
Lækagestrategi og -metoder
De identificerede kampagner synes ikke at have været rettet mod specifikke banker, men snarere rettet mod masseindsamling af kreditkortdata gennem forskellige metoder, såsom:
- Falske betalingsgateways;
- Svigagtige hjemmesider;
- Phishing via e-mail;
- Man-in-the-Middle-scripts på legitime onlinebutikker.
"Aktivitetsmønsteret viser, at B1ack søger at maksimere sin profit ved at videresælge eller bruge stjålne data. Til dette formål udnytter de dark web- markeder, kortfora og direkte transaktioner og styrker dermed sin indflydelse gennem en effektiv markedsføringsstrategi i den cyberkriminelle underverden," siger Ana Cerqueira, CRO hos ZenoX.
Konsekvenser og risici identificeret:
Selvom det oprindelige rapporterede antal kort var 3,4 millioner, tyder ZenoX' undersøgelse på, at mellem 1,4 og 2 millioner optegnelser er autentiske. Af dette antal var 93,96 % fortsat aktive på tidspunktet for undersøgelsen, hvilket udgjorde en betydelig risiko for forbrugere og finansielle institutioner, især i Sydøstasien.
Det bemærkes også, at en betydelig del af de 3,4 millioner kortregistreringer, der blev frigivet af B1ack, muligvis er blevet kunstigt genereret snarere end udelukkende opnået gennem legitime kompromitteringer. Der blev identificeret uregelmæssigheder i CVV-koder, udløbsdatoer og demografiske data, hvilket indikerer betydelig kunstig generering af nogle af dataene.
"Vi anslår, at mellem 40 % og 60 % af optegnelserne kan være kunstigt skabt. Denne ordning har til formål at forstærke lækagens virkning og dermed styrke den kriminelle gruppes omdømme på det underjordiske marked," fremhæver Cerqueira.
Konsekvenserne af dette brud går ud over den umiddelbare økonomiske indvirkning og fremhæver strukturelle ændringer i, hvordan kompromitterede data indsamles, manipuleres og udnyttes kommercielt. Derfor er der behov for hurtige afbødende foranstaltninger.
Brasiliens eksponering for bruddet
Brasilien rangerer som nummer 40 blandt de mest berørte lande med 3.367 kompromitterede kort, hvilket repræsenterer 0,10 % af det samlede antal. Trods den moderate eksponering er antallet af brasilianske registreringer det største i Latinamerika og overgår Argentina (712), Chile (459), Colombia (139) og Mexico (2.791).
Analyse af IP-adresser knyttet til brasilianske kreditkort afslører et forskelligartet mønster, der indikerer flere phishing-kampagner og potentielle e-handelskompromitteringer snarere end et centraliseret angreb. São Paulo fører an i mængden af lækkede data, hvilket afspejler dets betydning som et finanscenter.
Brasiliens relativt lavere eksponering, i modsætning til den høje koncentration i Sydøstasien, kan tilskrives faktorer som forskelle i sikkerhedsteknologier blandt lokale finansielle institutioner, angriberens mindre fokus på regionen eller den geografiske afstand fra Brasiliens hovedaktiviteter. "Selvom det ikke er et af de mest berørte lande, fremhæver tilstedeværelsen af mere end 3.000 kompromitterede kort i Brasilien specifikke sårbarheder, der kræver opmærksomhed fra finansielle institutioner og regulerende organer," konkluderer Cerqueira.
Hele undersøgelsen udført af ZenoX kan findes her .
