​Le département américain de la Justice a arrêté et inculpé deux autres suspects pour leur implication dans le piratage de près de 68 000 comptes DraftKings lors d’une attaque de bourrage d’informations d’identification en novembre 2022.

Un mois plus tard, DraftKings a déclaré avoir remboursé des centaines de milliers de dollars volés à 67 995 clients dont les comptes avaient été détournés lors de l’incident.

Un troisième accusé, Joseph Garrison, a été inculpé en mai 2023 pour son implication dans le même stratagème visant le site Web de sports fantastiques et de paris sportifs. En novembre, il a également plaidé coupable de complot en vue de commettre une intrusion informatique dans le cadre de cette attaque et sera condamné jeudi.

Les attaques de bourrage d’informations d’identification utilisent des outils automatisés pour effectuer des millions de tentatives de connexion à l’aide d’une liste de paires utilisateur/mot de passe. Cette technique est particulièrement efficace contre les comptes où le propriétaire a réutilisé les mêmes informations de connexion sur plusieurs plateformes.

Selon la plainte, Nathan Austad (alias Snoopy) et Garrison ont utilisé une liste d’informations d’identification collectées à partir d’autres violations pour pirater les comptes DraftKings, puis ont vendu l’accès aux comptes à d’autres personnes qui ont volé environ 635 000 accounts sur environ 1 600 comptes compromis.

Alors qu’Austad et Garrison ont vendu certains des comptes piratés en utilisant leurs propres « boutiques », ils en ont également vendu beaucoup en vrac à Kamerin Stokes (alias TheMFNPlug).

Ensemble, les défendeurs ont également mis au point une méthode permettant aux acheteurs des comptes DraftKings volés de retirer tous les fonds disponibles.

Ils ont demandé à leurs « clients » d’ajouter un nouveau mode de paiement aux comptes compromis, de déposer 5 $via le nouveau mode de paiement ajouté pour vérifier sa validité, puis de retirer tous les fonds existants sur un compte financier distinct sous leur contrôle.

Instructions de « retrait » de DraftKings

​En analysant le téléphone saisi d’Austad, les agents des forces de l’ordre ont trouvé plus de preuves l’impliquant dans l’attaque des informations d’identification de DraftKings, y compris des discussions avec des co-conspirateurs concernant le piratage.

Ils ont également trouvé des centaines de « configurations » utilisées par des outils d’attaque de bourrage d’informations d’identification (par exemple, OpenBullet et SilverBullet) sur des appareils saisis chez Austad et Garrison, ainsi que des dizaines de listes de mots contenant des dizaines de millions de combinaisons de noms d’utilisateur et de mots de passe également utilisées pour le bourrage d’informations d’identification.

Au cours de la même période en novembre, les clients de FanDuel ont signalé des compromissions de compte après des attaques de bourrage d’informations d’identification, avec des comptes volés vendus sur des places de marché de la cybercriminalité pour aussi peu que 2$.

Selon des documents judiciaires, Garrison gérait le site Web « Goat Shop », vendant des DraftKings et des comptes FanDuel détournés, gagnant 2 135 150,09 $après avoir poussé 225 247 produits .’

Chick-fil-A a également confirmé en mars 2023 (à la suite d’une enquête ouverte en janvier dernier) que 71 473 clients avaient vu leurs comptes piratés à la suite d’une attaque de bourrage d’informations d’identification de plusieurs mois qui a ciblé la plateforme entre le 18 décembre 2022 et le 12 février 2023.

Le magasin de chèvres de Garrison vendait également des comptes volés Chic-Fil-A à l’époque, fournissant des instructions sur la façon dont les acheteurs pouvaient utiliser les points de récompense stockés.

Des outils automatisés et des informations d’identification volées agrégées alimentent une vague massive d’attaques de bourrage d’informations d’identification, comme l’a averti le FBI il y a près de deux ans.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *