Un groupe de menaces appelé ARES gagne en notoriété sur la scène de la cybercriminalité en vendant et en divulguant des bases de données volées aux entreprises et aux autorités publiques.
L’acteur est apparu sur Telegram fin 2021 et a été associé à l’opération de ransomware RansomHouse et à la plateforme de fuite de données, KelvinSecurity, et au groupe d’accès réseau Adrastea.
Le groupe ARES gère son propre site avec des fuites de bases de données et un forum, ce qui pourrait combler le vide laissé par le forum aujourd’hui disparu Breached.
Cyfirma rapporte qu’ARES affiche un comportement semblable à celui d’un cartel, recherchant activement des affiliations avec d’autres acteurs de la menace.
Fuites ARES
ARES Leaks est une plate-forme hébergée sur le Web ordinaire qui offre un accès aux fuites de données de 65 pays, dont les États-Unis, la France, l’Espagne, l’Australie et l’Italie.
Le site Web héberge des fuites avec tous les types d’informations, des numéros de téléphone, adresses e-mail, détails des clients, B2B, SSN et bases de données d’entreprise, aux données forex, aux fuites gouvernementales et aux passeports.
Le groupe accepte les paiements en crypto-monnaie des membres qui souhaitent accéder aux données proposées ou acheter l’un des services disponibles, qui couvrent l’exploitation des vulnérabilités, les tests d’intrusion, le développement de logiciels malveillants et les attaques par déni de service distribué (DDoS).
Selon Cyfirma, l’activité sur ARES Leaks a augmenté dans la foulée de la fermeture de Breached.
Fin 2022, ARES a cherché à embaucher des développeurs de logiciels malveillants et des testeurs de plumes experts qui pourraient travailler en Syrie, offrant un paiement en crypto-monnaie.
ARES exploite également des canaux privés et VIP, vendant vraisemblablement des fuites de données plus précieuses provenant d’organisations de premier plan.
Cyfirma rapporte que l’ARES a récemment lancé des efforts pour acquérir un accès et des bases de données militaires, promouvant activement son intérêt par le biais de publicités sur les plateformes de cybercriminalité.
Base de fuite
LeakBase a été lancé début 2023 et c’est un autre projet soutenu par le groupe de menaces ARES. La promotion agressive et le forum des pirates informatiques Breached fermant ses portes ont poussé de nombreux utilisateurs à s’inscrire.
Il est hébergé sur le Web clair et gratuit pour tous, offrant des bases de données gratuites, un espace de marché pour vendre des fuites, des prospects, des exploits et des services, et un système de paiement sous séquestre pour inspirer la confiance.
Le forum héberge également des espaces de programmation, de conseils de piratage, de tutoriels, d’ingénierie sociale, de pénétration, de cryptographie, d’anonymat et de guides et de discussions sur l’opsec.
LeakBase est loin de Breached à l’heure actuelle, mais sa réputation semble croître et il pourrait bientôt devenir une importante plaque tournante d’informations et de services pour les cybercriminels.
ARES semble être un groupe de menaces bien organisé qui a continué à étendre ses opérations et ses services pour couvrir tous les principaux intérêts de la cybercriminalité.
Cyfirma estime qu’ARES considère la fermeture de Breached comme une opportunité d’accélérer sa croissance et d’établir sa position sur le marché de la cybercriminalité.