Les pirates informatiques derrière le programme malveillant Gootkit ont oublié de sécuriser leur base de données avec un mot de passe

Gootkit Gang Fail to Protect Their Database

Certaines personnes ont du mal à comprendre les dégâts qu une opération de cybercriminalité peut causer. Catalin Cimpanu de ZDNet et Bob Diachenko de SecurityDiscovery.com ont passé du temps à examiner de près un programme malveillant de vol d’informations du nom de Gootkit, et leurs résultats vous aideront, nous l’espérons, à mieux comprendre l’ampleur de l’échelle.

Cimpanu a déclaré que, comparé à d’autres chevaux de Troie comme Emotet et TrickBot , le fonctionnement de Gootkit n’était "nulle part" aussi important. Cependant, quelques paragraphes plus tard, il a déclaré que opération relativement petite avait récemment entraîné le vol au moins 15 000 cartes de crédit. Diachenko avait des chiffres encore plus terrifiants qui montraient que même les plus petits noms de industrie étaient capables de causer beaucoup de tort. Mais comment Cimpanu et Diachenko ont-ils établi ces statistiques?

Même les pirates échouent parfois à protéger leurs bases de données

Ceux entre vous qui intéressent activement à la sécurité de information ont probablement entendu le nom de Bob Diachenko dans le passé. est un chercheur en sécurité qui a contribué à la découverte de dizaines incidents au cours desquels des gigaoctets sur des gigaoctets de données sensibles ont été laissés sur des bases de données mal configurées et exposés à Internet. Dans la plupart des cas, Diachenko essaie de contacter les propriétaires des serveurs qui fuient et aider à sécuriser les informations. Naturellement, lorsqu il a trouvé des données volées par les opérateurs de Gootkit, il était pas trop pressé de les informer de leur erreur. Au lieu de cela, il a appelé Catalin Cimpanu et a demandé de aide pour analyser la fuite.

Le cheval de Troie envoyait toutes les données qu il volait à une base de données MongoDB, facilement détectable à aide des moteurs de recherche IoT. On ignore si exposition est due à une mauvaise configuration du pare-feu ou aux pirates qui ont oublié de protéger leur serveur par un mot de passe, mais le fait est que les données étaient accessibles à quiconque savait où regarder. Comme nous avons déjà mentionné, il y en avait beaucoup également.

Gootkit vole puis fuit des informations extrêmement sensibles

Gootkit a commencé sa vie en 2014 en tant que cheval de Troie bancaire modeste. Après infection, il surveillera le comportement de navigation de la victime et reprendra vie lorsque utilisateur tentera accéder à son site Web de services bancaires en ligne.. Cependant, Gootkit a progressivement évolué et la priorité est passée des informations identification bancaire à un champ information beaucoup plus large.

À heure actuelle, il peut tout exfiltrer, des cookies aux historiques de navigation, en passant par les courriers électroniques, les informations identification du système exploitation et les mots de passe pour chaque compte imaginable. Gootkit prend également des captures d’écran régulières, et il enregistre chaque bit d’information saisi par les utilisateurs dans des formulaires en ligne, ce qui permet de voler toutes les informations de carte de crédit.

Le chercheur a ajouté qu’en plus des 15 000 cartes de crédit, les bases de données contenaient près de 2,2 millions de mots de passe, plus de 750 000 noms d’utilisateur et plus de 1,4 million de comptes de messagerie. Pas mal pour une opération de malware à petite échelle, mais malheureusement, les données divulguées ne se sont pas arrêtées là. Selon le rapport de ZDNet, il y avait aussi des informations identification stockées pour des choses telles que les agences gouvernementales bulgares et les échanges de crypto-devises, qui pourraient exposer des informations encore plus sensibles.

Les pirates ont été rapides pour sécuriser la base de données

épidémie de serveurs mal configurés générant des fuites de données est en train de se transformer en épidémie. Les organisations légitimes laissent quotidiennement des bases de données non protégées, et il est clair que les cybercriminels ne sont pas à abri de le faire non plus. Lorsque de vraies entreprises sont impliquées, contacter les responsables et les aider à réparer la fuite est souvent plus difficile qu il y paraît. En revanche, les opérateurs de Gootkit semblent être beaucoup plus disposés à réagir.

Le 10 juillet, cinq jours seulement après que Diachenko eut découvert la base de données qui avait fui, les pirates informatiques avaient démantelé. Ce est pas clair ils ont agi parce qu ils ont vu que Diachenko et Cimpanu examinaient les données. Nous ne savons pas non plus si quelqu un autre a réussi à voir les informations. Ce que nous savons, est qu avant la fermeture de la base de données, Diachenko avait réussi à partager les données avec les forces de l'ordre. Espérons que cela aidera la police à rejoindre le gang Gootkit.

September 19, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 6 + 5 ?