Une opération internationale coordonnée d’application de la loi a démantelé Genesis Market, un marché en ligne illégal spécialisé dans la vente d’informations d’identification volées associées à des e-mails, des comptes bancaires et des plateformes de médias sociaux.
Coïncidant avec la saisie des infrastructures, la répression majeure, qui a impliqué les autorités de 17 pays, a abouti à 119 arrestations et 208 perquisitions dans 13 pays. Cependant, le .onion miroir du marché semble être toujours opérationnel.
Le « sans précédent » loi mise en vigueur exercer a été nommé Opération Cookie Monster.
Genesis Market, depuis sa création en mars 2018, est devenu une plaque tournante majeure pour les activités criminelles, offrant un accès aux données volées sur plus de 1,5 million d’ordinateurs compromis à travers le monde, totalisant plus de 80 millions d’informations d’identification.
La majorité des infections associées aux logiciels malveillants liés à Genesis Market ont été détectées aux États-Unis, au Mexique, en Allemagne, en Turquie, en Suède, en Italie, en France, en Espagne, en Pologne, en Ukraine, en Arabie saoudite, en Inde, au Pakistan et en Indonésie, entre autres, selon les données. réunis par Treillis.
Certains principales familles de logiciels malveillants distribués via le service pour compromettre les victimes comprennent AZORult, Raccoon, RedLine et DanaBot, qui sont tous capables de voler des informations sensibles des systèmes des utilisateurs. Également livré via DanaBot est une extension Chrome malveillante conçue pour siphonner les données du navigateur.
« Les informations d’identification d’accès au compte annoncées à la vente sur Genesis Market comprenaient celles liées au secteur financier, aux infrastructures critiques et aux agences gouvernementales fédérales, étatiques et locales », a déclaré le ministère américain de la Justice (DoJ). a dit dans un rapport.
Le DoJ a qualifié Genesis Market de « l’un des « courtiers d’accès initial (IAB) les plus prolifiques dans le monde de la cybercriminalité ».
Outre les informations d’identification, Genesis a également colporté les empreintes digitales des appareils – qui incluent des identifiants uniques et des cookies de navigateur – afin d’aider les acteurs de la menace à contourner les systèmes de détection anti-fraude utilisés par de nombreux sites Web.
« La combinaison des identifiants d’accès volés, des empreintes digitales et des cookies a permis aux acheteurs d’assumer l’identité de la victime en faisant croire à des sites Web tiers que l’utilisateur de Genesis Market était le véritable propriétaire du compte », a ajouté le DoJ.
Documents judiciaires révéler que le Federal Bureau of Investigation (FBI) des États-Unis a eu accès aux serveurs principaux de Genesis Market à deux reprises en décembre 2020 et mai 2022, permettant à l’agence d’accéder aux informations relatives à environ 59 000 utilisateurs du bazar de la cybercriminalité.
« Le plus cher contiendrait des informations financières qui permettraient d’accéder à des comptes bancaires en ligne », a noté Europol, affirmant que les criminels qui achetaient les données disposaient également d’outils supplémentaires pour les utiliser sans attirer l’attention.
« Les acheteurs ont reçu un navigateur personnalisé qui imitait celui de leur victime. Cela a permis aux criminels d’accéder au compte de leur victime sans déclencher aucune des mesures de sécurité de la plate-forme sur laquelle se trouvait le compte. »
Le navigateur propriétaire basé sur Chromium, appelé navigateur Genesium, est multiplateforme, les mainteneurs revendiquant des fonctionnalités telles que la « navigation anonyme » et d’autres fonctionnalités avancées qui permettent à ses utilisateurs de contourner les systèmes anti-fraude.
Genesis Market, contrairement à Hydra et à d’autres marchés illicites, était également accessible sur le clearnet, abaissant ainsi la barrière d’entrée pour les acteurs de la menace moins qualifiés cherchant à obtenir des identités numériques afin de violer les comptes individuels et les systèmes d’entreprise.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Le descendre est attendu d’avoir un « effet d’entraînement dans l’ensemble de l’économie souterraine » alors que les acteurs de la menace recherchent des alternatives pour combler le vide laissé par Genesis Market.
Genesis Market est le dernier d’une longue série de services illégitimes qui ont été supprimés par les forces de l’ordre. Il arrive également exactement un an après le démantèlement d’Hydra, qui a été abattu par les forces de l’ordre en avril 2022 et a créé un « changement sismique dans le paysage du marché du darknet en langue russe ».
« Près d’un an après le démantèlement d’Hydra, cinq marchés – Mega, Blacksprut, Solaris, Kraken et OMG!OMG! Market – sont devenus les plus grands acteurs en fonction du volume d’offres et du nombre de vendeurs », Flashpoint a dit dans un nouveau rapport.
Le développement fait également suite au lancement d’un nouveau marché du dark web connu sous le nom de STYX, principalement axé sur la fraude financière, le blanchiment d’argent et le vol d’identité. Il aurait ouvert ses portes vers le 19 janvier 2023.
« Quelques exemples d’offres de services spécifiques commercialisées sur STYX incluent les services d’encaissement, les vidages de données, les cartes SIM, le DDOS, le contournement 2FA/SMS, les documents d’identité falsifiés et volés, les logiciels malveillants bancaires, et bien plus encore », a déclaré Resecurity. a dit dans une rédaction détaillée.
Comme Genesis Market, STYX propose également des utilitaires conçus pour contourner les solutions anti-fraude et accéder aux comptes compromis en utilisant des identifiants numériques granulaires tels que des fichiers de cookies volés, des données d’appareils physiques et des paramètres réseau pour usurper les connexions légitimes des clients.
L’émergence de STYX en tant que nouvelle plate-forme dans l’écosystème cybercriminel commercial est un autre signe que le marché des services illégaux continue d’être une activité fructueuse, permettant aux acteurs malveillants de profiter du vol d’identifiants et des données de paiement.
« La majorité des fournisseurs de STYX Marketplace se spécialisent dans les services de fraude et de blanchiment d’argent ciblant les plates-formes bancaires numériques populaires, les places de marché en ligne, le commerce électronique et d’autres applications de paiement », a noté Resecurity. « Les zones géographiques ciblées par ces acteurs de la menace sont mondiales, couvrant les États-Unis, l’UE, le Royaume-Uni, le Canada, l’Australie et plusieurs pays de l’APAC et du Moyen-Orient. »