.:[ d4 n3wS ]:.

Vu chez Symantec :

Des escrocs “branchés” s’attaquent aux entreprises européennes et plus particulièrement françaises dans le but de voler des informations bancaires et des certificats de sécurité.

Le mode opératoire est plutôt avancé : ils se renseignent sur leur victime, prennent contact avec un employé gérant les finances de la boîte et l’avertissent de l’arrivé future d’un email.
Cet email contient un lien vers un cheval de troie W32.Shadesrat (aka Blackshades). Une fois installé sur la machine de l’employé, les arnaqueurs n’ont plus qu’à se servir.

L’utilisation d’un contact téléphonique dans ce genre d’attaque donne un aspect crédible au mail reçu mais la technique reste heureusement peu courante.

Via le NY Times, CNN Money et PCINpact :

Les piratages de société bancaires et en particulier de traitement/fabrication de cartes prépayées se sont multipliées ces dernières années et la somme maximale volée par ces cyber-braqueurs était jusque à présent de 9 millions de dollars en une journée avec le piratage de RBS Worldpay.

Dans cette nouvelle attaque qui a commencé au mois de décembre 2012, les criminels ont d’abord réalisé un coup d’essai à hauteur… de 5 millions de dollars.
Ils ont pour cela pénétré le système informatique d’une société indienne qui a un contrat avec Visa et MasterCard pour la fabrication de cartes prépayées (en Inde, les ordinateurs c’est comme des moulins).
Ils se sont ensuite débrouillés pour augmenter la limite de retrait autorisé sur ces cartes pré-payées.
Il ne restait plus qu’à produire les cartes avec les numéros de compte liés et organiser des retraits sur un intervalle de temps très court à travers le monde (ici 4500 retraits à des DABs) comme ça a déjà était fait par le passé.
L’argent était finalement blanchit via l’achat d’objets de luxe (voitures, montres etc)

Au mois de février, l’équipe reprend du service en piratant cette fois une société aux USA.
Au final 40 millions de dollars volés sur un intervalle de 10 heures soit 36000 transactions.
Rien qu’à New York, les “cashers” (l’équipe chargée des retraits) à pu retirer 2.4 millions de dollars en 2904 fois.

Les ramifications de ce gang semblent être assez obscures et la personne suspectée de mener l’équipe de retrait de NY a été retrouvée morte en République Dominicaine…

Des arrestations ont déjà eu lieu en rapport avec cette affaire mais les détails n’ont pas été révélés puisque l’enquête est toujours en cours.

Via ZDNet :

Une opération conjointe des services ukrainiens et russes a permis d’arrêter les auteurs du botnet Carberp et sa variante Eurograbber spécialisé dans le vol d’informations bancaires européennes.
Vers mi-2012 une opération avait déjà mené à l’arrestation d’un groupe important se servant de ce bot.

L’article de ZDNet fait référence à des équipes de développement dans ce dernier groupe, laissant supposer que les auteurs originaux en font partie.

Via ArsTechnica et KrebsOnSecurity.com
Quand on s’intéresse au business de certains cyber-gangs comme (par exemple) RBN, il y a de quoi se faire des ennemis.

Récemment le blogueur Brian Krebs a été victime de trois attaques : d’abord une tentative de faire fermer son site via l’envoi d’une lettre soit disant du FBI demandant à Prolexic (un service anti-DDoS) de fermer le site KrebsOnSecurity.com.
La seconde attaque, lancée peu de temps après la découverte de cette lettre, était une attaque DDoS de grande ampleur à destination de son site.
Pour terminer, très tard dans la soirée, les forces du SWAT ont fait une apparition très mouvementée à sa porte…

D’après Krebs, tout serait lié à un article qu’il avait écrit sur ssndob.ru, un site qui monnaye tout type d’infos comme des numéros de sécu, relevés bancaires etc, le paradis des voleurs d’identité.

Des traces de ces attaques ont été retrouvées grâce à la base de donnée leakée de booter.tw, un black-market qui vent des services de DDoS.
Il semble qu’un internaute ait donné de l’argent à ce site dans l’objectif de faire tomber le site de Krebs ainsi que celui d’ArsTechnica.

Est-ce que la police japonaise va finalement arrêter d’être tournée en bourrique par ce hacker qui poste des alertes à la bombe sur le web ?

Un homme de 30 ans a été arrêté comme suspect. Coupable ou non ? Lui clame son innocence.
La police avait déjà arrêté précédemment plusieurs personnes sur cette affaire… toutes se sont révélées être innocentes.

Le titre de la news ne devrait surprendre personne pourtant c’est peut-être la première affaire où le site Silk Road est directement impliqué dans une affaire de deal de drogues (en tout cas la première affaire médiatisée).

Bien sûr l’existence de ce site a déjà été traité par les médias mais avec l’arrestation d’un dealer australien qui revendait des drogues achetés sur Silk Road on peut imaginer que l’attention sur ce site qui génère des sommes d’argent monstrueuses va se renforcer.

L’année dernière, les administrateurs d’un autre hidden-service baptisé Farmer Market se sont fait arrêter.
Quel avenir pour les personnes derrière Silk Road ?

Via PacketStorm :

La police de Bangkok a arrêté un pirate algérien de 24 ans alors qu’il était en halte à l’aéroport pour un trajet retour Malaisie – Égypte avec sa famille.
Hamza Bendelladj est suspecté par le FBI d’avoir récupéré le pactole de plusieurs centaines de millions de dollars ^_^ en piratant des comptes sur 217 banques.

Le FBI est semble-t-il à sa recherche depuis 3 ans. Son matériel informatique a été saisi. Il sera extradé aux USA dans l’état de Géorgie.
L’article n’indique pas s’il a exploité des failles sur les sites des banques ou utilisé un botnet avec un banking-trojan.

Voir aussi l’article du Bangkok Post

C’est bientôt noël et peut-être quelques bot-herders vont avoir droit à une Zeus tout neuf au pied de leur sapin… ou pas.

Symantec s’est penché sur les markets qui vendent des bots en tout genre. Entre arnaque et marketing… business is business !

Coka-Cola piraté. Les intrus cherchaient visiblement des documents sensibles concernant la tentative de rachat du groupe chinois Huiyuan Juice.
Techniques utilisées : spear-fishing et documents PDF piégés.
Bientôt un Gangnam-Cola ?

Une faille sur Facebook permettait d’avoir accès à certains comptes sans passer par une phase d’authentification.
Plus d’un million de liens donnant chacun accès à un compte ont ainsi été postés sur Hacker News.
La faille a été rapidement corrigée.

Le retour de GhostShell : la team leake ce qu’elle affirme être 2.5 millions de comptes du gov russe, principalement des comptes de messagerie.

Cyber-attaque sur un casino : les 14 personnes arrêtés avaient trouvé une faille dans le protocole de sécurité des transactions électroniques de Citibank.
L’attaque nécessitait de retirer du cash simultanément sur des kiosques dans une intervalle d’une minute (d’où le nombre de personnes arrêtées).
1 millions de $ pour 60 secondes retirés avant que le système ne fasse ses comptes…

Un article de Wired relaye les découvertes faites par la boite antivirale Trend Micro dans un rapport sur la monétisation par les black-market russes de services cyber-criminels.

Si vous vouliez savoir combien se monnaye un DDoS, un hack de compte Facebook ou du spam alors c’est l’occasion.