Une opération internationale d’application de la loi a mis fin à un « marché de piratage notoire » qui vendait l’accès à des appareils infectés et des identifiants de compte volés, ont annoncé aujourd’hui le ministère américain de la Justice et Europol. L’opération ciblant Genesis Market a impliqué 17 pays, a saisi l’infrastructure de la plate-forme et a abouti à « 119 arrestations, 208 perquisitions de biens et 97 mesures de frappe et de conversation », a déclaré Europol.
Le Genesis Market, désormais fermé, « a annoncé et vendu des packages d’informations d’identification d’accès au compte – tels que des noms d’utilisateur et des mots de passe pour les e-mails, les comptes bancaires et les réseaux sociaux – qui avaient été volés sur des ordinateurs infectés par des logiciels malveillants dans le monde entier », a déclaré le ministère de la Justice. La soi-disant « Opération Cookie Monster » a saisi 11 noms de domaine en vertu d’un mandat autorisé par le tribunal de district américain du district oriental du Wisconsin.
Alors que le site Web public de Genesis Market a été supprimé, son domaine .onion était toujours accessible sur le Web sombre en utilisant Tor aujourd’hui. Les forces de l’ordre sont apparemment toujours à la recherche d’au moins certaines des personnes derrière la plate-forme, car le message de saisie de domaine demande des conseils à toute personne ayant été en contact avec les administrateurs de Genesis Market. Le département du Trésor américain a déclaré que Genesis Market « serait situé en Russie ».
Europol a déclaré que « contrairement à d’autres marchés criminels, Genesis Market était accessible sur le Web ouvert, bien qu’obscurci des forces de l’ordre derrière un voile d’invitation uniquement. Son accessibilité et ses prix bon marché ont considérablement abaissé la barrière d’entrée pour les acheteurs, ce qui en fait une ressource populaire parmi les pirates. »
Genesis Market aurait eu environ 59 000 utilisateurs enregistrés. Selon Europol, « la principale marchandise criminelle du marché était les identités numériques » ou « ce que les propriétaires du marché appelaient des » bots « qui avaient infecté les appareils des victimes par le biais de logiciels malveillants ou de prises de contrôle de compte ».
L’opération Cookie Monster a été menée par le FBI et la police nationale néerlandaise, sous la coordination d’Europol.
« Navigateur personnalisé » imitant les appareils des victimes
Genesis Market est apparu en mars 2018 et depuis lors « offre l’accès aux données volées sur plus de 1,5 million d’ordinateurs compromis dans le monde contenant plus de 80 millions d’identifiants d’accès à des comptes », a déclaré le ministère de la Justice.
Lors de l’achat d’un bot auprès de Genesis Market, « les criminels auraient accès à toutes les données collectées par celui-ci, telles que les empreintes digitales, les cookies, les connexions enregistrées et les données de formulaire de remplissage automatique », a déclaré Europol. Les robots les moins chers se vendaient moins d’un dollar chacun, mais d’autres rapportaient des centaines de dollars et donnaient accès à des comptes bancaires en ligne.
Europol a déclaré que les acheteurs de Genesis Market étaient « fournis avec un navigateur personnalisé qui imiterait celui de leur victime », leur permettant d’accéder aux comptes des victimes « sans déclencher aucune des mesures de sécurité de la plate-forme sur laquelle se trouvait le compte. Ces mesures de sécurité incluent la reconnaissance un emplacement de connexion différent, une empreinte digitale de navigateur différente ou un système d’exploitation différent. »
Un rapport de Brian Krebs a décrit l’offre Genesis comme « un plugin de navigateur Web personnalisé qui peut charger un profil de bot Genesis afin que le navigateur imite pratiquement tous les aspects importants de l’appareil de la victime, de la taille de l’écran et du taux de rafraîchissement à la chaîne d’agent utilisateur unique liée à le navigateur Web de la victime. »
Le DOJ a déclaré avoir accédé à la base de données des utilisateurs de Genesis Market. « La base de données contenait l’historique des achats et des activités de tous les utilisateurs, ce qui, selon les autorités fédérales, les a aidés à découvrir la véritable identité de nombreux utilisateurs », a écrit Krebs.
Trois gros takedowns l’année dernière
Le démantèlement de Genesis Market fait suite à des actions similaires contre Hydra Market en avril 2022 et BreachForums en mars 2023. Le DOJ affirme qu’il a « démantelé les plus grands marchés du darknet » en raison de ces trois opérations au cours de l’année dernière.
Le ministère de la Justice a déclaré que les informations d’identification des victimes obtenues lors de l’opération Cookie Monster ont été fournies à HaveIBeenPwned.com, ce qui vous aide à vérifier si vous avez été impliqué dans une violation de données.
Le Bureau du Trésor du contrôle des avoirs étrangers (OFAC) a déclaré avoir désigné Genesis Market, ce qui signifie que « tous les biens et intérêts dans les biens de l’entité qui se trouvent aux États-Unis ou en possession ou sous le contrôle de personnes américaines doivent être bloqués et signalés à l’OFAC. . » De plus, toute personne qui « s’engage[s] dans certaines transactions avec l’entité désignée aujourd’hui peuvent elles-mêmes s’exposer à des sanctions. »