Le gang Keeper, un groupe à l'origine du piratage de 570 magasins en ligne

Un groupe de pirates informatiques connu sous le nom de « Keeper » est responsable de violations de sécurité sur plus de 570 portails de commerce électronique en ligne au cours des trois dernières années. Ce gang s’est introduit dans les back-end des magasins en ligne, a modifié leur code source et a inséré des scripts malveillants qui enregistraient les détails des cartes de paiement saisis par les acheteurs dans les formulaires.

La communauté de la cybersécurité nomme ce type d’attaques « Web skimming », « e-skimming » ou les intrusions « Magecart », du nom du premier groupe de pirates qui a utilisé ces tactiques. Via un rapport publié ce mardi, la société Gemini Advisory a mis en lumière le fait que ce gang de cybercriminels est en activité depuis au moins avril 2017 et continue de l’être encore aujourd’hui.

La société explique qu’elle a pu repérer les activités du gang parce que celui-ci utilise des panneaux de contrôle identiques pour les serveurs de back-end où il collecte les informations des cartes de paiement des magasins piratés.

Un butin estimé à 7 millions de dollars

En exploitant les empreintes digitales de ce panneau de contrôle, Gemini a pu suivre toutes les activités historiques de Keeper et visualiser les anciens panneaux de contrôle exploités par les membres de « Keeper », les URL malveillantes utilisées pour héberger l’infrastructure de piratage, mais aussi une liste des magasins en ligne piratés où le gang a inséré ses scripts malveillants.

Comme l’indique la société, 85 % des 570 magasins piratés fonctionnaient sur la plateforme de commerce électronique Magento. La plupart des magasins étaient exploités par des petites et moyennes entreprises. Keeper a également touché de grands noms, des sites qui ont attiré entre 500 000 et 1 000 000 de visiteurs par mois. En outre, l’équipe de Gemini Advisory a expliqué que lors de son enquête sur l’infrastructure du gang Keeper, elle a également découvert que l’un des panneaux arrière, où les pirates informatiques envoyaient les informations des cartes de paiement collectées dans les magasins en ligne, n’était pas correctement sécurisé.

« Sur la base du nombre de cartes collectées au cours d’une période de neuf mois, et compte tenu des opérations du groupe depuis avril 2017, Gemini estime qu’il a probablement collecté près de 700 000 cartes compromises », précisent les experts de Gemini dans son rapport, partagé avec la rédaction de ZDNet. « Compte tenu du prix médian actuel, sur le dark web, de 10 dollars par carte compromise Card Not Present (CNP), ce groupe a probablement généré plus de 7 millions de dollars US en volant et en vendant des cartes de paiement compromises pendant toute sa durée de vie », résume la société.

Source : ZDNet.com


Source : ZDNet