Le bureau a saisi les domaines web de Genesis Market, un forum criminel sur invitation seulement qui vend des informations de connexion volées à des centaines de milliers d'ordinateurs, conformément à une ordonnance du tribunal de district des États-Unis pour le district oriental du Wisconsin, selon l'avis de saisie.Genesis - appelé Genesis Marketplace, ou Genesis Store, ou Genesis Market ; le site se désigne lui-même de manière incohérente - est une place de marché sur invitation uniquement. Il vend des informations d'identification, des cookies et des empreintes numériques volés qui sont recueillis à partir de systèmes compromis, en fournissant non seulement les données elles-mêmes, mais aussi des outils bien entretenus pour faciliter leur utilisation.
Genesis est actif depuis 2017 et répertorie actuellement plus de 400 000 bots (systèmes compromis) dans plus de 200 pays. L'Italie, la France et l'Espagne sont en tête de liste des pays touchés. L'attrait de la collection de Genesis pour les attaquants n'est pas la taille de son agrégation de données ; c'est la qualité des informations volées que Genesis offre et l'engagement du service à maintenir ces informations volées à jour.
Le FBI a baptisé cette opération d'Opération Cookie Monster, en référence à la vente par le forum d'informations provenant des navigateurs web appelées « cookies », selon l'avis de saisie. Actif depuis environ cinq ans, Genesis Market a joué un rôle clé en permettant aux cybercriminels d'accéder à des ordinateurs piratés pour réaliser d'autres formes de fraude telles que l'usurpation d'identité et les attaques par rançongiciel.
Actif depuis 2018, Genesis Market avait pour slogan « Notre magasin vend des bots avec des logs, des cookies et leurs véritables empreintes digitales ». Les clients pouvaient rechercher des systèmes compromis à l'aide de diverses options, notamment par adresse Internet ou par noms de domaine spécifiques associés à des informations d'identification volées.
La saisie semble s'inscrire dans le cadre d'une opération de répression plus vaste visant Genesis Market, selon l'avis du FBI, qui porte les logos de nombreux services de répression européens, de l'Allemagne au Royaume-Uni.
L'attrait sombre de Genesis est complété par plusieurs fonctions de service à la clientèle qui permettent aux mauvais acteurs de se concentrer sur leurs crimes, et non sur la technologie : une interface soignée avec de bonnes capacités de corrélation des données ; des outils efficaces et bien entretenus pour les clients, y compris une fonction de recherche robuste ; et des accessoires grand public tels qu'une FAQ, une assistance aux utilisateurs, des prix en dollars (bien que le paiement soit effectué en bitcoins), et une révision compétente des textes.
« Vous pouvez acheter un robot avec une véritable empreinte digitale, un accès au courrier électronique, aux réseaux sociaux, aux comptes bancaires, aux systèmes de paiement », précise Genesis dans une annonce sur un forum sur la cybercriminalité. « Vous obtenez également toute la vie numérique antérieure (historique) du robot - la plupart des services ne vous demanderont même pas de vous identifier par un nom d'utilisateur et un mot de passe et vous identifieront comme leur client habituel. En achetant un kit de robot avec l'empreinte digitale, les cookies et les accès, vous devenez l'utilisateur unique de tous ses services et autres sites web. L'autre utilisation de notre kit d'empreintes digitales réelles est de dissimuler les traces de votre activité réelle sur Internet ».
Selon des chercheurs en cybersécurité, le forum criminel, qui a publié des informations de connexion et des comptes bancaires, est né des recherches effectuées par les pirates sur les technologies de lutte contre la fraude utilisée par des centaines de banques et de systèmes de paiement.
Genesis Market vend par ailleurs des « empreintes digitales numériques », c'est-à-dire l'ensemble des données collectées par les ordinateurs qui permettent d'identifier les utilisateurs en ligne. Selon des chercheurs de la société de cybersécurité Sophos, des publicités sur Genesis Market affirment que tant que quelqu'un à accès à un ordinateur piraté, les empreintes digitales de l'ordinateur seront maintenues à jour.
« En d'autres termes, les clients de Genesis n'achètent pas une seule fois des informations volées d'un millésime inconnu ; ils paient pour un abonnement de facto aux informations de la victime, même si ces informations changent », a déclaré Sophos dans une analyse de Genesis Market l'année dernière.
Lorsque les clients de Genesis achètent un bot, ils achètent la possibilité de charger dans leur navigateur tous les cookies d'authentification de la victime, de sorte que les comptes en ligne appartenant à cette victime sont accessibles sans mot de passe et, dans certains cas, sans authentification multifactorielle.
La saisie effectuée par le FBI est la dernière d'une série de coups de filet internationaux qui impliquent de plus en plus souvent des arrestations et des raids coordonnés sur plusieurs continents. En janvier 2022, le FBI et Europol, l'agence policière de l'Union européenne, ont saisi des serveurs informatiques après avoir identifié « plus de 100 entreprises » qui risquaient d'être piratées par des cybercriminels.
Qui sont les clients de Genesis ?
Les courtiers attirent les criminels qui cherchent à accélérer l'infiltration et le déplacement au sein d'un système ciblé. Genesis Marketplace est l'un des premiers des courtiers, et certainement l'un des plus perfectionnés. L'accélération de ces étapes réduit le temps nécessaire à une attaque efficace et minimise la détection par les processus qui recherchent certains types de mouvements suspects.
Bien qu'il soit généralement difficile de déterminer exactement qui achète des données et des accès auprès des courtiers, les groupes de rançongiciels et leurs affiliés sont des clients fréquents. La tactique la plus courante des cybercriminels avec ce type de données est le credential stuffing, qui consiste à utiliser des identifiants volés pour surcharger un service ou une entreprise ciblé(e) afin d'en obtenir l'accès.
L'utilisation de données d'empreintes digitales plutôt que de simples combinaisons d'identifiants et de mots de passe volés pour mener une attaque par bourrage d'identifiants permet aux cybercriminels de masquer le fait que l'assaut provient d'un seul point. Cela peut aider les cybercriminels à contourner les contre-mesures spécifiques que les sites ont mises en place pour empêcher les attaques par bourrage d'informations d'identification.
Quoi qu'il en soit, et comme dit précédemment, l'accès des clients à Genesis se fait uniquement sur invitation. Il est intéressant de noter que ce fait a donné naissance à un marché secondaire robuste pour les invitations à Genesis. Il a également conduit d'autres sites criminels à se faire passer pour Genesis et, de fait, à « escroquer les potentiels escrocs » qui cherchent à accéder au marché.
Données compromises de manière persistante
Contrairement aux listes combinées et aux archives d'informations d'identification volées sans lien entre elles qui étaient partagées dans des forums clandestins tels que RaidForums et Breach Forums, les courtiers tels que Genesis répertorient les bots individuels avec leurs cookies et autres informations d'identification correspondantes.
Cela permet aux acteurs de la menace de voir le contexte de chaque victime, de comprendre les relations entre les données volées et d'obtenir des informations plus complètes sur le système compromis. Et, comme dit précédemment, Genesis s'efforce activement de maintenir ces informations à jour.
Plus Genesis dispose de données sur une victime, plus le service facture l'accès à ce bot : une victime représentée par seulement quelques combinaisons d'identifiants et de mots de passe pour des comptes de médias sociaux peut être achetée pour moins d'un dollar, tandis qu'une victime dont les informations comprennent l'accès à plusieurs comptes bancaires peut être vendue pour des centaines de dollars.
Cela permet au client d'acheter précisément les informations dont il a besoin, peut-être même la valeur d'un seul compte. Par exemple, l'ensemble unique d'informations d'identification qui a conduit à la faille EA de juin 2021, qui a permis aux attaquants d'entrer dans le système d'EA par l'intermédiaire de Slack, le géant du jeu vidéo, a été acheté sur Genesis pour 10 dollars.
Le groupe a volé le code source de FIFA 21 et des outils de matchmaking associés, ainsi que le code source du moteur Frostbite qui alimente des jeux comme Battlefield et d'autres outils de développement de jeux internes. Au total, les pirates affirmaient détenir 780 Go de données, qu'ils ont mis en vente sur divers forums clandestins.
Des sources proches de l'enquête auraient indiqué que les forces de l'ordre aux États-Unis, au Canada et en Europe sont en train de lancer des mandats d'arrêt contre des dizaines d'individus soupçonnés de soutenir Genesis, soit en soutenant le site, soit en vendant les logs de bot du service à partir de systèmes infectés.
L'avis de saisie comprend les sceaux d'entités chargées de l'application de la loi de plusieurs pays, dont l'Australie, le Canada, le Danemark, l'Allemagne, les Pays-Bas, l'Espagne, la Suède et le Royaume-Uni.
Source : Krebsonsecurity
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Biden publie un décret exécutif qui interdit aux agences fédérales d'utiliser des logiciels espions commerciaux, après que des journalistes, des politiciens et d'autres personnes ont été des cibles Des pirates informatiques français s'emparent d'une Tesla Model 3 et de 100 000 dollars, de manière parfaitement légale