Le groupe Cobalt à l'origine des attaques Magecart - Actualités RT Sécurité

Le groupe Cobalt à l'origine des attaques Magecart

le 04/10/2019, par Lucian Constantin / IDG News Service (adaptation : M.G.), Sécurité, 753 mots

Selon des chercheurs, les attaques de skimming de Magecart sont imputables aux cybercriminels du groupe Cobalt (alias Carbanak). Ce qui voudrait dire que Cobalt, dont les cyberattaques ont permis d'extorquer des millions de dollars à des institutions bancaires, et Magecart sont une même entité.

Le  groupe Cobalt à l'origine des attaques Magecart

Les chercheurs ont établi un lien entre les attaques par écrémage ou « skimming » de Magecart et un groupe de cybercriminels sophistiqué surnommé Cobalt, qui a volé des centaines de millions de dollars aux institutions financières du monde entier. Les chercheurs ont également trouvé des preuves de skimming côté serveur, plus difficiles à détecter que les injections JavaScript typiques. Une analyse réalisée conjointement par Malwarebytes et l'entreprise de sécurité HYAS a permis en effet d'établir des similitudes significatives entre les bureaux d'enregistrement de noms de domaine utilisés dans leur infrastructure par le groupe Cobalt et un autre groupe connu sous le nom de Magecart Group 4 (MG4).

Il apparaît notamment que Cobalt et MG4 ont utilisé la même convention de nommage de leurs comptes de messagerie, les mêmes services de messagerie, les mêmes bureaux d'enregistrement de domaines et les mêmes services de protection de la confidentialité. « Il est fort peu probable que la convention de nommage utilisée pour les mêmes services de protection de la vie privée et pour tous les domaines soit connue d'autres acteurs que ceux qui ont enregistré à la fois l'infrastructure du Groupe Cobalt et celle de Magecart », ont déclaré les chercheurs dans un rapport publié hier. « De plus, une enquête plus poussée a révélé que, quel que soit le fournisseur de courrier électronique utilisé, dix des comptes apparemment distincts n'ont réutilisé que deux adresses IP différentes, alors qu'il s'est passé des semaines ou des mois entre les enregistrements ».

En faisant des recherches dans ses ensembles de données, l'entreprise de sécurité HYAS, qui fournit des services d'attribution de noms intelligents, a trouvé une adresse électronique particulière qui servait à l'enregistrement des domaines Magecart, mais cette adresse a également été utilisée pour une campagne de phishing par courriel avec des documents Word malveillants, ce qui correspond au modus operandi du groupe Cobalt. La même adresse a également été utilisée pour enregistrer des noms de domaine très similaires à ceux employés par le passé par le groupe Cobalt.

Qu'est-ce que le groupe Cobalt ?

Le groupe Cobalt, également identifié sous le nom de Carbanak dans certains rapports, est un gang de cybercriminels spécialisés dans le vol aux banques et à d'autres organisations financières de sommes d'argent importantes. En général, le groupe s'introduit dans les réseaux de ses cibles en menant des campagnes de phishing : des pièces malveillantes jointes aux courriels exploitent les vulnérabilités de Microsoft Word. Après avoir pris pied chez ses cibles, le groupe peut rester des mois dans les réseaux, effectuer des mouvements latéraux et étudier les procédures internes et les workflows de leurs victimes, décortiquer leurs applications internes personnalisées. Le tout pour préparer un hold-up numérique final qui leur permettra de voler des millions de dollars en une seule fois, parfois en piratant le réseau de distributeurs automatiques de l'institution ciblée et en envoyant des mules pour collecter l'argent.

Magecart est aussi le nom générique utilisé par une douzaine de groupes distincts qui s'introduisent dans des sites Web de commerce électronique. Ensuite, ils injectent des fichiers JavaScript malveillants dans les pages de traitement du paiement en ligne et volent les informations de cartes bancaires et autres données personnelles saisies par les utilisateurs. Les méthodes de ces groupes sont connues. On sait qu'ils utilisent diverses techniques pour injecter leur code dans les sites Web, y compris en compromettant les services de tiers ayant légalement chargé des scripts dans les sites Web ciblés à des fins d'analyse, de publicité et autres.

Un groupe FIN6 aussi impliqué dans le skimming

Des chercheurs d'IBM ont récemment découvert la preuve qu'un autre groupe de cybercriminalité appelé FIN6, aussi lié à Cobalt, s'était lancé dans le piratage de cartes bancaires sur Internet. FIN6 s'est déjà fait connaître en piratant les systèmes de points de vente de la distribution, de l'hôtellerie et de la restauration pour voler les données des cartes de paiement. Les opérations de skimming du groupe FIN6 observées récemment sont liées à celle d'un autre groupe appelé Magecart Group 6. « Compte tenu de leurs liens historiques dans ce domaine et de l'arrivée de groupes sophistiqués comme FIN6 et d'autres, il serait logique que le Groupe Cobalt arrive sur ce terrain et continue à diversifier ses actions criminelles contre les institutions financières mondiales », ont déclaré les chercheurs de Malwarebytes et HYAS dans leur rapport.

Comment prévenir une rupture VPN avec IPv6

Si les VPN d'accès à distance ne sont pas correctement configurés, le trafic IPv6 de périphériques distants peut échapper aux contrôles de sécurité de l'entreprise. Les entreprises qui ne savent pas...

le 17/10/2019, par Scott Hogg, Network World (adaptation Jean Elyan), 1217 mots

Sodinokibi, le ransomware qui rapporte des millions de dollars

Des chercheurs en sécurité estiment que, d'après les portefeuilles bitcoins qu'ils ont pus tracer, les créateurs du ransomware Sodinokibi, cousin de GrandCrab, ont empoché au moins 4,5 millions de dollars. En...

le 15/10/2019, par Lucian Constantin, CSO (adapté par Jean Elyan), 709 mots

VMware crée une unité de sécurité intégrée basée sur la technologie...

La technologie de sécurité cloud native aux points terminaux de l'entreprise de cybersécurité Carbon Black, acquise pour 2,1 milliards de dollars, va permettre à VMware d'offrir une sécurité intégrée plus...

le 11/10/2019, par Michael Conney, Network World (adapté par Jean Elyan), 840 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...