UNZenoX, una startup di sicurezza informatica daGruppo di difesaspecializzata in intelligenza artificiale contro minacce digitali, ha condotto un'indagine dettagliata sulla fuga di 3,4 milioni di carte di credito, denominata "JOKER". L'incidente, che è stato classificato come la più grande fuga di dati finanziari fino ad ora nel 2025, è stato attribuito al gruppo di cybercriminali B1ACK’S STASH, noto per commercializzare dati finanziari nel dark web. L'analisi ha rivelato che attori malintenzionati stanno alzando il livello combinando phishing avanzato, compromissione di e-commerce e generazione artificiale di dati per massimizzare l'impatto e il ritorno finanziario.
Strategia e metodi di perdita
Le campagne individuate non sembrano essere state mirate a banche specifiche, ma piuttosto mirate alla raccolta in massa di dati di carte di credito attraverso diversi metodi, quali:
- Gateway di pagamento falsi;
- Siti web fraudolenti;
- Phishing tramite e-mail;
- Script man-in-the-middle nei negozi online legittimi.
Lo schema di azione evidenzia che B1ack cerca di massimizzare i propri guadagni rivendendo o utilizzando i dati rubati. Per questo, esplora mercati diweb oscuro, forum dicardaturae transazioni dirette, rafforzando la propria influenza attraverso un'efficace strategia di marketing nel mondo sotterraneo della criminalità informatica", afferma Ana Cerqueira, CRO di ZenoX
Impatto e rischi identificati
Sebbene il totale inizialmente divulgato fosse di 3,4 milioni di carte, l'analisi di ZenoX suggerisce che tra 1,4 e 2 milioni di registrazioni siano autentiche. Di questo totale, il 93,96% rimaneva attivo al momento dell'indagine, rappresentando un rischio significativo per i consumatori e le istituzioni finanziarie, soprattutto nella regione del Sud-est asiatico.
Si segnala anche che una parte significativa dei 3,4 milioni di record di carte divulgati da B1ack potrebbe essere stata generata artificialmente, e non ottenuta esclusivamente attraverso compromessi legittimi. Sono state identificate anomalie nei codici CVV, nelle date di scadenza e nei dati demografici, indicando una generazione artificiale significativa di parte dei dati.
"Stimiamo che tra il 40% e il 60% dei record potrebbe essere stato creato artificialmente. Questo artificio cerca di amplificare l'impatto della fuga di notizie, aumentando la reputazione del gruppo criminale nel mercato nero", sottolinea Cerqueira.
Le implicazioni di questa fuga vanno oltre l'impatto economico immediato e evidenziano cambiamenti strutturali nel modo in cui i dati compromessi vengono raccolti, manipolati ed esplorati commercialmente. In questo modo, sono richieste azioni rapide di mitigazione
L'esposizione del Brasile alla fuga di notizie
Il Brasile occupa la 40ª posizione tra i paesi più colpiti, con 3.367 carte compromesse, rappresentando lo 0,10% del totale. Nonostante l'esposizione moderata, la presenza di registrazioni brasiliane è la più grande dell'America Latina, superando Argentina (712), Cile (459), Colombia (139) e Messico (2.791).
L'analisi degli indirizzi IP associati alle carte nazionali rivela uno schema diversificato, indicando molteplici campagne di phishing e possibili compromissioni di e-commerce, e non da un attacco centralizzato. São Paulo lidera in volume di dati trapelati, riflettendo la sua rilevanza come centro finanziario.
L'esposizione relativamente minore del Brasile, in contrasto con l'alta concentrazione nel Sud-est asiatico, può essere attribuita a fattori come differenze nelle tecnologie di sicurezza delle istituzioni finanziarie locali, minor focus dell'attaccante sulla regione o la distanza geografica delle operazioni principali di B1ack. Sebbene non sia uno dei paesi più colpiti, la presenza di oltre 3.000 carte compromesse in Brasile evidenzia vulnerabilità specifiche che richiedono l'attenzione delle istituzioni finanziarie e degli organismi regolatori, conclude Cerqueira.
È possibile accedere allo studio completo condotto da ZenoXQui.
