Genesis Market : le Cookie Monster qui venait du froid

Le black market Genesis Market amputé par les autorités après l’opération Cookies Monster. Plusieurs arrestations et, cependant, un site malveillant toujours en activité dans le darkweb ! Enquête ZATAZ.

Comme vous avez très certainement dû en entendre parler, plusieurs services de police aux quatre coins du monde ont finalisé l’opération Cookie Monster. Mission, mettre fin au business d’un espace numérique pirate du nom de Genesis Market. Imaginez la force de frappe mise en place ce 4 avril 2023 : 208 perquisitions, 119 interpellations (dont 3 en France, 1 en Espagne, 10 en Australie, etc.) et la saisie des noms de domaine (web) de ce black market (genesis.market ; g3n3sis.org ; etc.). Canada, France, USA, Pays-Bas, Espagne, Royaume-Uni, Belgique, Allemagne, pour ne citer que quelques pays. Le tout coordonné par le FBI, Europol et Eurojust. Des autorités tellement heureuses de cette action que de nombreux tournages des arrestations ont été réalisés.

Le blackmarket Genesis Market stoppé ! Adieu monstre malveillant aux dizaines de millions de victimes ! #news #zataz @Damien_Bancal #fic2023 #encabaneaucanada pic.twitter.com/YBXQcTMgDC

— ZATAZ – "o/" (@zataz) April 5, 2023

Genesis Market : blackmarket aux milliers de clients

Créé en 2017, cet espace pirate proposait à la vente des accès à des ordinateurs, avec mots de passe, cookies (d’où le nom de l’opération policière), etc. Des données piratées baptisées LOGS. Alors que ce portail avait ses habitués, il va prendre une ampleur significative avec son apparition dans plusieurs espaces de discussions publiques, comme IRC ou encore Telegram. Un service après-vente, un service technique sont mis en place. Des possibilités d’accès « gratuites » étaient diffusées, de temps à autre, par un canal baptisé Invites.

Genesis Market n’était pas gratuit. Il fallait d’abord avoir un référent, une invitation et payer. Un code « invitation » coûtait 10$. Une fois dans ce supermarché de la malveillance, des accès VIP pouvaient s’acquérir pour quelques dizaines de dollars. Genesis Market n’était pas apprécié de la « communauté » professionnelle des pirates informatiques.

Les LOGS [ZATAZ vous avait présenté ce business, en avril 2022, soit 1 an, jour pour jour avec l’OP Cookies Market] étaient vieux, souvent recyclés et signés « nouvelle intrusion« .

Les litiges entre les vendeurs et les acheteurs sur la plateforme étaient très nombreux. Les acheteurs se plaignaient souvent de ne pas avoir reçu leurs produits ou d’avoir reçu des produits de qualité inférieure, tandis que les vendeurs se plaignaient de la concurrence déloyale et des pratiques frauduleuses d’autres vendeurs sur le site.

Certains utilisateurs ont également signalé avoir été victimes d’arnaques, de vol de données personnelles ou de paiements frauduleux. Bref, des nuisibles parmi les nuisibles.

Les données étaient commercialisées, en moyenne, à une dizaine de dollars pièce [entre 10 et 200$ par Logs et/ou Fingerprint]. Les administrateurs de Genesis Market prenaient leur pourcentage sur chaque vente. Les affiliés venaient remplir les rayons de données exfiltrées via différents outils, comme des chevaux de Troie (logiciel espion) cachés dans de faux logiciels pour pirater des jeux vidéo ou autres programmes informatiques.

Tout était automatisé. Les achats d’identifiants, de cartes de crédit, de cartes clonées, de journaux bancaires, de vulnérabilités de plateformes web, des cookies, etc. s’achetaient en quelques clics de souris. « Les utilisateurs n’achetaient pas simplement des données personnelles, mais aussi des moyens de les exploiter. Ils recevaient un navigateur web personnalisé qui reproduisait à la perfection celui de la victime. Cela leur permettait de ne pas déclencher d’alertes de sécurité sur la plateforme corrompue« , confirme le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol.

Le 4 avril, fini de rire, ou presque !

L’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a pris des mesures pour désigner Genesis Market. Le marché noir [black market] Genesis Market s’est retrouvé dans la ligne de mire du ministère américain de la Justice (DOJ) et des partenaires internationaux d’une douzaine de pays cités plus haut.

Un écho après la fin, le mois dernier, du forum pirate Breached. Les États-Unis ont fait saisir les domaines de Genesis Market. ! ZATAZ peut confirmer que la version « TOR » est toujours active au moment de la diffusion de cet article. Le FBI est-il caché derrière ? Possible ! Une excellente méthode pour collecter d’autres informations sur les utilisateurs et instigateurs, d’autant que le FBI avait réussi à récupérer, dès décembre 2020, la base de données du site avec les pseudonymes, les mots de passe, les adresses électroniques, les comptes Jabber, les adresses BTC.

En janvier 2021, les administrateurs de Genesis avaient dû fermer, quelques jours, leur site, sans expliquer la véritable raison : « Nous nous excusons pour le long retard dû au déménagement du magasin. Au cours de la mise à jour, des circonstances imprévues sont apparues, l’ouverture a donc été reportée. » ZATAZ vous en parlait à l’époque.

Janvier 2022, un « truc » perturbe les administrateurs de Genesis Market. Le FBI a mis la main sur la base de données. – Capture/traduction : zataz.com

À noter que les administrateurs seraient basés en Russie selon le DOJ ! Ils vont devoir expliquer au FSB pourquoi l’argent ne rentre plus dans les caisses 🙂 D’autant que l’Oncle Sam, par le biais de sa plainte, bloque tous les biens et intérêts proches ou éloignés du business de Genesis. Bilan, si de l’argent a transité sur le sol de l’Oncle Sam (compte en banque, Paypal, etc.) les « supports » sont saisis et bloqués. Les banques et entreprises, même hors sol US, doivent saisir et bloquer, au risque de subir des sanctions de l’Office of Foreign Assets Control. Lors de sa fermeture par les autorités, deux millions de comptes étaient en vente, selon Europol. ZATAZ vous montrait en vidéo, en 2021, comment un seul groupe de pirates commercialisait, à lui seul, 200 000 accès !

Genesis Market mort, donc ? Oui et non ! Les instigateurs ont annoncé l’ouverture d’une nouvelle plateforme, ce qui risque d’engendrer une masse de cyberattaques afin de remplir les nouveaux linéaires malveillants. À noter qu’il existe des dizaines de portails de type « Genesis ». Le FBI propose aux anciens membres, surtout ceux qui auraient des informations sur les administrateurs, de les contacter : « Vous avez été actifs sur Genesis Market ? affiche le FBI sur le site des pirates. En contact avec les administrateurs ? Envoyez-nous un e-mail, nous sommes intéressés« . Le Bureau Fédéral d’Investigation a même ouvert une adresse électronique dédiée : [email protected]

Genesis, une goutte d’eau dans un océan de malveillance. Genesis Market a été bloqué, parfait. Voilà qui pourrait rassurer. Sauf que quelques minutes après l’apparition du logo du FBI concernant la saisie des domaines, les premiers messages proposaient de rejoindre la version Onion (Tor) ou d’autres plateformes toutes aussi rompues à la commercialisation de données piratées.

Comment vous protéger ?

Les criminels créent des sites Web sur lesquels ils échangent les profils d’utilisateurs des victimes de piratage, y compris leur empreinte digitale en ligne. ZATAZ a pu vous alerter sur ce sujet, en vous proposant, même, en 2021, de savoir si votre ordinateur avait été infiltré.

Exemple de black Market proposant les mêmes « services » que Genesis. – capture zataz.com

L’empreinte digitale en ligne, propre à chaque ordinateur, est constituée d’éléments tels que la version du logiciel installé, le pays d’utilisation, les paramètres d’affichage et de langue, ainsi que les préférences du navigateur Web et les cookies. La combinaison de ces données uniques permet d’étiqueter un ordinateur comme « de confiance » lors des contrôles anti-fraude effectués par les boutiques en ligne ou les banques. Si les cybercriminels s’emparent de votre profil utilisateur et de votre empreinte digitale en ligne, ils peuvent contourner les mesures de sécurité des boutiques en ligne et, dans certains cas, des banques. Une fois qu’ils ont installé des logiciels malveillants sur votre ordinateur, ils sont informés de chaque modification de mot de passe.

Les risques incluent les criminels dînant au restaurant ou effectuant des achats en ligne à vos frais, la perte de contrôle de vos comptes de médias sociaux, le vidage de votre compte bancaire ou l’ouverture de comptes de réseaux sociaux ou bancaires à votre nom. Pour éviter de se faire piéger, il est important de noter que 95% des infiltrations proviennent de faux logiciels, de « cracks » de jeux vidéo ou de logiciels informatiques et d’autres outils de triche pour les jeux vidéo. ZATAZ vous avait montré les captures écrans que les pirates produisaient, chaque jour. Les hackers malveillants prouvant ainsi la prise en main des machines vendues.

Certains concurrents de Genesis Market sont quasiment impossibles à déloger ! – capture écran : zataz.com

Votre empreinte digitale en ligne est la donnée unique à votre ordinateur. Par exemple, la version du logiciel installé, le pays dans lequel l’ordinateur est utilisé, les paramètres d’affichage et de langue, mais aussi les préférences de votre navigateur Web et les cookies. La combinaison de ces données uniques est ce qui conduit à ce qu’un ordinateur soit étiqueté comme « de confiance » dans les contrôles anti-fraude par les boutiques en ligne ou les banques, par exemple. A cela vous rajoutez des dizaines de milliers d’identifiants de connexion et les pirates n’ont plus qu’à se gaver sur votre dos comme je vous le montre dans cet article.

Les cybercriminels créent ensuite des sites Web pour échanger les profils d’utilisateurs des victimes de piratage, y compris leur empreinte digitale en ligne. En 2021, ZATAZ vous a alerté sur ce sujet et vous a même proposé de vérifier si votre ordinateur avait été infiltré. Nous avions à l’époque infiltré un groupe de pirates disparu depuis.