Gemini Advisory a récemment décelé un piratage à l’échelle mondiale, touchant 570 sites internet. Les attaques ont duré pendant plusieurs mois et visaient principalement les sites basés sur Magento. De nombreux numéros de carte bancaire ont été dérobés et remis en vente au cours de cette période.
Les utilisateurs de Magento ont été les principales cibles
Ce méfait est l’œuvre du groupe Magecart Keeper. Ce dernier aurait ainsi utilisé une interconnexion de 73 domaines d’exfiltration et de 64 domaines attaquants. Le groupe visait particulièrement les sites des petites et des moyennes entreprises utilisant Magento et ses extensions e-commerce. D’après les résultats des analyses menées par Gemini Advisory, les actes ciblaient le CMS Magento dans 85 % des cas.
Si les attaques de Magecart à ces types de sites sont si fréquentes ces temps-ci, c’est parce que les utilisateurs emploient un système de gestion de contenus plus ou moins obsolète. En effet, le CMS utilisé par les commerçants fonctionne avec des modules complémentaires non corrigés.
Toutefois, bien que les petits sites e-commerces soient les réelles cibles, de grands noms se retrouvent tout de même parmi la liste des sites piratés
570 sites piratés
Selon Gemini Advisory, le groupe Keeper aurait piraté environ 570 sites répartis sur 55 pays du monde. Parmi ces pays, la France figure à la quatrième place sur le rang de ceux les plus touchés. En effet, 25 sites français seraient concernés par l’invasion de Keeper.
Les attaques projetaient d’injecter un code JavaScript grâce à un domaine hébergeant les charges malveillantes et les données volées. Dans certains cas, elles consistaient à exploiter les services de stockage GitHuv ou Google Cloud. Les cybercriminels utilisaient aussi parfois la stéganographie pour infecter les logos et les images du domaine actif en y intégrant le code malveillant.
Au cours de ces 6 derniers mois, Gemini Advisory a découvert des centaines de milliers de détournements de données bancaires, à l’issue de ces attaques.
Un piratage à très grande envergure
Lors de ses analyses du groupe Keeper, Gemini a mis la main sur le panneau de contrôle Keeper le 24 avril 2019. Il s’agit d’une sorte de journal d’accès qui stockait des informations sur les cartes compromises. Gemini Advisory a donc découvert un nombre de 184 000 cartes stockées et qui sont datées entre juillet 2018 et avril 2019. Ces chiffres indiquaient le nombre de toutes les cartes piratées que les Hackers ont pu collecter suite à leurs attaques.
En se basant sur le nombre de cartes collectées pendant ces 9 mois (juillet jusqu’à avril), Gemini Advisory estime que depuis 2017, Keeper a pu rassembler près de 700 000 cartes.
Après la découverte de ces chiffres phénoménaux, on a pu rapporter des estimations financières. Sachant qu’en dark net, une carte CNP (Carte Not Present) compromise est vendue à 10 $, Gemini estime que les hackers ont pu bénéficier d’à peu près 7 millions de dollars. Il s’agit même ici d’une somme minimale, car tenant compte des améliorations techniques qui ont été instaurées au cours de ses opérations, le groupe Keeper a probablement pu empocher bien plus d’argent.