Mise en vente de plus de 10 000 sites web piratés

Des pirates informatiques mettent en vente les contenus volés à plus de 10 000 sites web. Les bases de données et les internautes vendus entre 10 et 1 000 $.

Alors que les cyberattaques par ransomwares sont devenues légions, il est oublié les autres intrusions numériques. Depuis des années j’alerte sur les centaines de fuites d’informations qu’il est possible de croiser dans le darknet, darkweb et sur le web. Force est de constater qu’elles sont de plus en plus nombreuses. Le business des pirates est fleurissant et n’est pas près de se tarir au plus grand malheur des internautes. Si au Canada, deux employés de Shopify ont été mis à la porte, ils récupéraient les informations de clients commerçants (le FBI a été saisi, NDR), sur le web, les « malveillants » forment une grande famille qui ne cesse de grossir.

Comme j’ai pu vous le montrer dans La Cyber Emission E03S05, les pirates se professionnalisent. Nous avons visité, dans la dernière émission [Replay ici] le quartier général d’un groupe de Brésiliens avec leurs outils, les BDD disponibles, …

Avec le rançonnage, nous avons aussi une preuve tangible de l’industrialisation du piratage informatique. Quand on découvre que des groupes comme Maze ou encore Conti affichent à eux deux plus de 400 entreprises sous chantage, en à peine 6 mois, on ne peut plus appeler ça du piratage de grenier ! Et pourtant, ces actes sont monnaies courantes depuis des années. C’est oublier, par exemple, les exactions du groupe Rex Mundi, voilà cinq ans !

Faites passer la monnaie !

Lors d’une recherche pour le Service Veille ZATAZ, une vente dans un black market privé a attiré mon œil. Pour être très honnête, il n’y a pas une heure sans que l’œil ne soit pas attiré par une nouvelle annonce malveillante signée par des pirates.

Dans ce dernier cas, le groupe, que je baptiserai XData (le nom a été modifié, NDR) propose deux types de vente. La première, des bases de données tirées « d’importants forums » par la planète indique le pirate. Les contenus : identités, mails, mots de passe (certains en clair), IP …

Des informations de membres d’un site Québécois vendues par le pirate. – Source : zataz.com

Je peux être précis dans ces éléments constituant les bases de données mise en vente dans la mesure ou le pirate m’a communiqué des échantillons. Il ne sait pas qui je suis, mais comme tout bon vendeur il propose, comme chez votre parfumeur, de quoi attirer l’acquéreur. Les tarifs varient selon la taille, la fraîcheur, la notoriété  de la victime numérique et le contenu des bdd volées. Entre 10 et plusieurs centaines de dollars.

J’ai pu analyser « Un forum Français dédié à la nature » [+ 5 000 membres] ; « Des forums français regroupant + 20 000 abonnés » ; « Un forum Starcraft anglophone » [+28 000 membres] ; « Un forum sans nom dédié à un logiciel populaire » [+88 000 membres] ; « Un espace Québécois » [Prêt de 10 000 inscrits] ou encore « Un forum pour adultes basé en Allemagne » [+200 000 membres]. Des échantillons qu’il a caché sur le site 0Bin, un portail de type Pastebin. Il permet le stockage d’informations. Des données chiffrées, qui peuvent être auto détruits. Pas de référencement possible par les moteurs de recherche. Les fichiers ne sont disponibles qu’à la condition de connaître l’adresse web exacte.

Un des nombreux forums Français que vend le pirate. Source: zataz.com

Le black hat précise que les informations, une fois achetées, ne peuvent être revendues.

Ces échantillons ont été passés à la moulinette du Service Veille ZATAZ. Aucuns des comptes présents (mails, mots de passe) n’étaient référencés. A noter que nous avons alertés les personnes présentes dans les échantillons pour qu’elles puissent rapidement corriger, et aussi permettre à ZATAZ de retrouver la trace des sites infiltrés.

Ils partîmes cinq cents ; mais par un prompt renfort – Ils se virent trois mille en arrivant par vos ports

Dans la seconde vente, nous passons à l’industrialisation 2.0. Plus de 10 000 sites piratés. Il s’agit de blogs et de forums diverses et variés. Certains sites n’existent plus [20% des cas]. De nombreuses « petites » boutiques, des cabinets d’avocats, des blogs sur la mode, les voitures, des clubs de sport.

Les hackers malveillants se sont faits un malin plaisir, semble-t-il, de vider les contenus sauvegardés via des CMS et outils web non mis à jour, comme VBulletin par exemple. Pour rappel, une faille XXL a permis le vol de MILLIONS de données voilà quelques mois.

Les piratages ne sont pas datés, certains semblent avoir plusieurs années, d’autres quelques jours.

J’ai pu mettre la main sur la liste des « vendeurs ». Toute la planète y est représentée : français, canadiens, belges, chines, USA, … et même Russes. Il faut dire aussi que les pirates d’Amérique du Sud et de la région des Philippines se moquent comme de l’an 40 des frontières. Il semble que ces commerçants soient originaires de ces contrés.

Au moment du paiement, en cryptomonnaie, il faut passer par l’outil Keybase (Outil appartenant à ZOOM) pour leur parler. Outil très étonnant pour les transactions. Il permet, entre autres, de chiffrer et anonymiser les communications. Ils ont tellement « peur » de rien, que ces pirates ont même référencé trois machines via Keybase au mois d’août et septembre 2020 (dates de leur première mise en vente).

Pour contacter les pirates, et les payer, il faut passer par l’outil Keybase. – Source: zataz.com

Il devient compliqué d’en dire plus. D’abord pour éviter d’attirer les curieux qui pourraient avoir envie de « contacter » les sociétés ; Enfin et surtout, parce que de nombreux sites piratés n’ont pas réagi à mon courriel. Ils ont TOUS été alertés. L’obligation d’informer la CNIL et les autorités de leur pays respectif prime plus que de les afficher dans un post de blog.

A noter que les membres du Service Veille ZATAZ ont été avertis à la suite de la découverte afin de prendre les mesures adéquates.

Certaines bases base de données piratées et vendues n’avaient que quelques heures au moment de la découverte de cette vente malveillante par ZATAZ.

Que faire ?

Comment se protéger ? Comment éviter de finir dans les mains de pirates ? Attention à vos mots de passe ; utilisez un mail par service exploité ; ne vous inscrivez pas n’importe où, au risque de finir n’importe où. Vous aurez beau avoir le plus long et compliqué des mots de passe ; d’exploiter la double authentification (indispensable), c’est oublier le reste de vos informations que les pirates pourront piller, utiliser, revendre sans vergogne.

Je finirai par cette image. Vous penserez à ZATAZ quand vous reproduirez cette idée.

Prenez votre portefeuille. Imaginez le comme un site web, un forum …

Retirez la carte bancaire et l’argent.

Regardez maintenant le reste des informations protégées par votre stockage de cuir.

Dites-vous que même sans les données bancaires, le reste du contenu de votre porte documents intéressera le moindre pirate qui passe : identité, consommation, carte d’identité, carte professionnelle, carte de fidélité, carte de santé, adresse physique, cartes de visite, photos personnelles, …

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.