Depois de mais de sete meses de investigação, a empresa americana Hold Security, de Milwaukee, identificou uma quadrilha russa que está atualmente de posse do maior conjunto de dados roubados na internet. Embora não tenha um nome, foi apelidada pelos técnicos de “CyberVor” (“vor” significa ladrão em russo). A quadrilha CyberVor acumulou mais de 4,5 bilhões de registros, a maioria compostos de credenciais roubados; 1,2 bilhão dessas credenciais parece ser única, pertencente a mais de meio bilhão de endereços de correio eletrônico. Para obter esse número de credenciais, os CyberVors roubaram mais de 420 mil sites e servidores de FTP.
A Hold foi a empresa que em outubro de 2013 identificou a violação de dados da Adobe Systems. Mais tarde, em dezembro daquele ano, identificou e monitorou de forma independente a violação da rede de supermercados Target e em fevereiro de 2014 identificou mais de 360 milhões de credenciais roubadas sendo comercializadas no mercado negro. No geral, a Hold Security desempenhou um papel na identificação e ajuda às vítimas dessas grandes violações. Esse último trabalho foi feito em conjunto com a empresa Credential Integrity Services.
Inicialmente, o grupo comprou bases de dados de colegas no mercado negro. Essas bases de dados foram usadas para atacar provedores de e-mail, redes sociais e outros sites, para então distribuir spam para as vítimas e instalar redirecionamentos maliciosos para mais contaminação de vítimas. No início deste ano, os cibercriminosos alteraram a sua abordagem. Através do mercado negro, os CyberVors tiveram acesso redes de botnets (um grande grupo de computadores infectados por vírus e controlado por criminosos). Essas botnets foram usadas para identificar as vulnerabilidades de SQL em milhares de sites. Mais de 400.000 locais foram identificados como potencialmente vulneráveis a falhas SQLi. Os CyberVors usaram justamente essas vulnerabilidades para roubar bancos de dados desses sites.
