Le bureau a saisi les domaines web de Genesis Market, un forum criminel sur invitation seulement qui vend des informations de connexion voles des centaines de milliers d'ordinateurs, conformment une ordonnance du tribunal de district des tats-Unis pour le district oriental du Wisconsin, selon l'avis de saisie.Genesis - appel Genesis Marketplace, ou Genesis Store, ou Genesis Market ; le site se dsigne lui-mme de manire incohrente - est une place de march sur invitation uniquement. Il vend des informations d'identification, des cookies et des empreintes numriques vols qui sont recueillis partir de systmes compromis, en fournissant non seulement les donnes elles-mmes, mais aussi des outils bien entretenus pour faciliter leur utilisation.
Genesis est actif depuis 2017 et rpertorie actuellement plus de 400 000 bots (systmes compromis) dans plus de 200 pays. L'Italie, la France et l'Espagne sont en tte de liste des pays touchs. L'attrait de la collection de Genesis pour les attaquants n'est pas la taille de son agrgation de donnes ; c'est la qualit des informations voles que Genesis offre et l'engagement du service maintenir ces informations voles jour.
Le FBI a baptis cette opration d'Opration Cookie Monster, en rfrence la vente par le forum d'informations provenant des navigateurs web appeles cookies , selon l'avis de saisie. Actif depuis environ cinq ans, Genesis Market a jou un rle cl en permettant aux cybercriminels d'accder des ordinateurs pirats pour raliser d'autres formes de fraude telles que l'usurpation d'identit et les attaques par ranongiciel.
Actif depuis 2018, Genesis Market avait pour slogan Notre magasin vend des bots avec des logs, des cookies et leurs vritables empreintes digitales . Les clients pouvaient rechercher des systmes compromis l'aide de diverses options, notamment par adresse Internet ou par noms de domaine spcifiques associs des informations d'identification voles.
La saisie semble s'inscrire dans le cadre d'une opration de rpression plus vaste visant Genesis Market, selon l'avis du FBI, qui porte les logos de nombreux services de rpression europens, de l'Allemagne au Royaume-Uni.
L'attrait sombre de Genesis est complt par plusieurs fonctions de service la clientle qui permettent aux mauvais acteurs de se concentrer sur leurs crimes, et non sur la technologie : une interface soigne avec de bonnes capacits de corrlation des donnes ; des outils efficaces et bien entretenus pour les clients, y compris une fonction de recherche robuste ; et des accessoires grand public tels qu'une FAQ, une assistance aux utilisateurs, des prix en dollars (bien que le paiement soit effectu en bitcoins), et une rvision comptente des textes.
Vous pouvez acheter un robot avec une vritable empreinte digitale, un accs au courrier lectronique, aux rseaux sociaux, aux comptes bancaires, aux systmes de paiement , prcise Genesis dans une annonce sur un forum sur la cybercriminalit. Vous obtenez galement toute la vie numrique antrieure (historique) du robot - la plupart des services ne vous demanderont mme pas de vous identifier par un nom d'utilisateur et un mot de passe et vous identifieront comme leur client habituel. En achetant un kit de robot avec l'empreinte digitale, les cookies et les accs, vous devenez l'utilisateur unique de tous ses services et autres sites web. L'autre utilisation de notre kit d'empreintes digitales relles est de dissimuler les traces de votre activit relle sur Internet .
Selon des chercheurs en cyberscurit, le forum criminel, qui a publi des informations de connexion et des comptes bancaires, est n des recherches effectues par les pirates sur les technologies de lutte contre la fraude utilise par des centaines de banques et de systmes de paiement.
Genesis Market vend par ailleurs des empreintes digitales numriques , c'est--dire l'ensemble des donnes collectes par les ordinateurs qui permettent d'identifier les utilisateurs en ligne. Selon des chercheurs de la socit de cyberscurit Sophos, des publicits sur Genesis Market affirment que tant que quelqu'un accs un ordinateur pirat, les empreintes digitales de l'ordinateur seront maintenues jour.
En d'autres termes, les clients de Genesis n'achtent pas une seule fois des informations voles d'un millsime inconnu ; ils paient pour un abonnement de facto aux informations de la victime, mme si ces informations changent , a dclar Sophos dans une analyse de Genesis Market l'anne dernire.
Lorsque les clients de Genesis achtent un bot, ils achtent la possibilit de charger dans leur navigateur tous les cookies d'authentification de la victime, de sorte que les comptes en ligne appartenant cette victime sont accessibles sans mot de passe et, dans certains cas, sans authentification multifactorielle.
La saisie effectue par le FBI est la dernire d'une srie de coups de filet internationaux qui impliquent de plus en plus souvent des arrestations et des raids coordonns sur plusieurs continents. En janvier 2022, le FBI et Europol, l'agence policire de l'Union europenne, ont saisi des serveurs informatiques aprs avoir identifi plus de 100 entreprises qui risquaient d'tre pirates par des cybercriminels.
Qui sont les clients de Genesis ?
Les courtiers attirent les criminels qui cherchent acclrer l'infiltration et le dplacement au sein d'un systme cibl. Genesis Marketplace est l'un des premiers des courtiers, et certainement l'un des plus perfectionns. L'acclration de ces tapes rduit le temps ncessaire une attaque efficace et minimise la dtection par les processus qui recherchent certains types de mouvements suspects.
Bien qu'il soit gnralement difficile de dterminer exactement qui achte des donnes et des accs auprs des courtiers, les groupes de ranongiciels et leurs affilis sont des clients frquents. La tactique la plus courante des cybercriminels avec ce type de donnes est le credential stuffing, qui consiste utiliser des identifiants vols pour surcharger un service ou une entreprise cibl(e) afin d'en obtenir l'accs.
L'utilisation de donnes d'empreintes digitales plutt que de simples combinaisons d'identifiants et de mots de passe vols pour mener une attaque par bourrage d'identifiants permet aux cybercriminels de masquer le fait que l'assaut provient d'un seul point. Cela peut aider les cybercriminels contourner les contre-mesures spcifiques que les sites ont mises en place pour empcher les attaques par bourrage d'informations d'identification.
Quoi qu'il en soit, et comme dit prcdemment, l'accs des clients Genesis se fait uniquement sur invitation. Il est intressant de noter que ce fait a donn naissance un march secondaire robuste pour les invitations Genesis. Il a galement conduit d'autres sites criminels se faire passer pour Genesis et, de fait, escroquer les potentiels escrocs qui cherchent accder au march.
Donnes compromises de manire persistante
Contrairement aux listes combines et aux archives d'informations d'identification voles sans lien entre elles qui taient partages dans des forums clandestins tels que RaidForums et Breach Forums, les courtiers tels que Genesis rpertorient les bots individuels avec leurs cookies et autres informations d'identification correspondantes.
Cela permet aux acteurs de la menace de voir le contexte de chaque victime, de comprendre les relations entre les donnes voles et d'obtenir des informations plus compltes sur le systme compromis. Et, comme dit prcdemment, Genesis s'efforce activement de maintenir ces informations jour.
Plus Genesis dispose de donnes sur une victime, plus le service facture l'accs ce bot : une victime reprsente par seulement quelques combinaisons d'identifiants et de mots de passe pour des comptes de mdias sociaux peut tre achete pour moins d'un dollar, tandis qu'une victime dont les informations comprennent l'accs plusieurs comptes bancaires peut tre vendue pour des centaines de dollars.
Cela permet au client d'acheter prcisment les informations dont il a besoin, peut-tre mme la valeur d'un seul compte. Par exemple, l'ensemble unique d'informations d'identification qui a conduit la faille EA de juin 2021, qui a permis aux attaquants d'entrer dans le systme d'EA par l'intermdiaire de Slack, le gant du jeu vido, a t achet sur Genesis pour 10 dollars.
Le groupe a vol le code source de FIFA 21 et des outils de matchmaking associs, ainsi que le code source du moteur Frostbite qui alimente des jeux comme Battlefield et d'autres outils de dveloppement de jeux internes. Au total, les pirates affirmaient dtenir 780 Go de donnes, qu'ils ont mis en vente sur divers forums clandestins.
Des sources proches de l'enqute auraient indiqu que les forces de l'ordre aux tats-Unis, au Canada et en Europe sont en train de lancer des mandats d'arrt contre des dizaines d'individus souponns de soutenir Genesis, soit en soutenant le site, soit en vendant les logs de bot du service partir de systmes infects.
L'avis de saisie comprend les sceaux d'entits charges de l'application de la loi de plusieurs pays, dont l'Australie, le Canada, le Danemark, l'Allemagne, les Pays-Bas, l'Espagne, la Sude et le Royaume-Uni.
Source : Krebsonsecurity
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
