Le ministère de la Justice a révélé aujourd’hui qu’un homme de 18 ans nommé Joseph Garrison du Wisconsin avait été accusé d’avoir piraté les comptes d’environ 60 000 utilisateurs du site Web de paris sportifs DraftKings en novembre 2022.

Selon la plainte, le suspect a utilisé une longue liste d’informations d’identification d’autres violations pour pirater les comptes. Il a ensuite vendu les comptes piratés et les acheteurs ont volé environ 600 000 dollars sur environ 1 600 comptes compromis.

Garrison et ses co-conspirateurs ont conçu une méthode permettant aux acheteurs des comptes volés de retirer tous les fonds, leur demandant d’ajouter un nouveau mode de paiement aux comptes piratés, de déposer une somme nominale de 5 $ via le mode de paiement nouvellement ajouté pour vérifier sa validité, puis retirer tous les fonds existants des comptes des victimes vers un compte financier séparé sous le contrôle des agresseurs.

Lors d’une perquisition en février 2023 de la résidence de Garrison, les forces de l’ordre ont trouvé des outils couramment utilisés dans les attaques de bourrage d’informations d’identification (y compris OpenBullet et SilverBullet) qui nécessitent des fichiers de «configuration» personnalisés pour chaque site Web ciblé.

Environ 700 fichiers de configuration pour des dizaines de sites Web d’entreprises ont été trouvés sur l’ordinateur du suspect, dont 11 fichiers distincts pour le site Web de paris attaqué en novembre.

De plus, la recherche a également conduit à la découverte d’au moins 69 fichiers (appelés listes de mots) contenant environ 38 484 088 combinaisons de nom d’utilisateur et de mot de passe, également utilisées dans les attaques de credential stuffing.

Lors de l’analyse du téléphone de Garrison, les agents des forces de l’ordre ont trouvé des preuves supplémentaires impliquant l’accusé dans l’attaque d’identification de novembre 2022 contre la plateforme de paris, y compris des discussions avec des co-conspirateurs concernant le piratage du site Web.

Dans une de ces conversations, Garrison a même exprimé la conviction que les forces de l’ordre seraient incapables de l’appréhender ou de le poursuivre, déclarant : « la fraude est amusante… je suis accro à voir de l’argent sur mon compte… je suis comme obsédé par le contournement de la merde ».

L’attaque des identifiants DraftKings
Bien que le ministère de la Justice n’ait pas nommé le site de paris ciblé dans l’attaque, Breachtrace est au courant d’un stratagème ciblant à la fois DraftKings [1, 2] et FanDuel en novembre 2022.

« La sûreté et la sécurité des informations personnelles et de paiement de nos clients sont d’une importance primordiale pour DraftKings. Nous avons travaillé avec les forces de l’ordre pour attraper le ou les mauvais acteurs présumés, et nous tenons à remercier le ministère de la Justice, y compris le FBI et les États-Unis. procureur du district sud de New York, pour leur action rapide et efficace », a déclaré DraftKings à Breachtrace aujourd’hui dans un communiqué.

« Comme nous l’avons indiqué précédemment, les mauvais acteurs ont pu utiliser les informations de connexion obtenues auprès d’une source tierce pour accéder à certains comptes d’utilisateurs. Lorsque l’incident de bourrage d’informations d’identification identifié s’est produit en novembre 2022, DraftKings a informé les clients des juridictions concernées. et restauré des montants pour un nombre limité d’utilisateurs qui auraient pu avoir des fonds retirés de manière inappropriée de leurs comptes. »

DraftKings a révélé pour la première fois le 21 novembre que jusqu’à 300 000 $ avaient été volés sur des comptes piratés lors d’une attaque d’identifiants.

En novembre, après avoir appris que plus de 300 000 dollars avaient été volés, Breachtrace a contacté DraftKings et s’est fait dire : « Votre source est incorrecte à la fois sur le chiffre en dollars et sur le nombre de clients concernés ».

Un mois plus tard, la société de paris sportifs a déclaré avoir remboursé des centaines de milliers de dollars volés après que 67 995 clients se soient fait pirater leurs comptes lors de l’incident (correspondant au nombre de comptes mentionnés dans la plainte et le communiqué de presse du DOJ).

Au cours de la même période en novembre, les clients de FanDuel ont signalé des compromissions de compte après des attaques de bourrage d’informations d’identification, les comptes piratés étant vendus sur les marchés de la cybercriminalité pour aussi peu que 2 $.

Garrison est connu pour avoir dirigé le site Web « Goat Shop » vendant des comptes DraftKings et FanDuel piratés après les deux attaques.

« Sur le Garrison Phone, les forces de l’ordre ont trouvé une photo non datée montrant que Goat Shop avait vendu 225 247 produits pour un chiffre d’affaires total de 2 135 150,09 $ », indique la plainte.

Les mêmes instructions détaillées sur la façon de vider les comptes DraftKings violés ont été fournies sur une autre boutique en ligne qui correspondent aux instructions affichées sur le site Web de Garrison’s Goat Shop dans la plainte.

Les co-conspirateurs suivaient également la réponse à l’incident de DraftKings et, à un moment donné, ils ont averti que tous les comptes piratés étaient désormais verrouillés après que l’entreprise ait réinitialisé les mots de passe des comptes concernés.

Suite à l’attaque de novembre, DraftKings a conseillé aux clients de ne jamais utiliser le même mot de passe pour plusieurs services, d’activer immédiatement 2FA sur leurs comptes et de dissocier leurs comptes bancaires ou de supprimer leurs coordonnées bancaires pour bloquer les demandes de retrait frauduleuses.

Chick-fil-A a également confirmé en mars (à la suite d’une enquête qui a débuté en janvier) que 71 473 clients avaient vu leurs comptes piratés lors d’une attaque de bourrage d’informations d’identification « automatisée » d’une durée de plusieurs mois entre le 18 décembre 2022 et le 12 février 2023.

Les comptes volés ont également été mis en vente sur le site Web de Goat Shop jusqu’à 200 $, en fonction du solde du compte, du mode de paiement lié ou du nombre de points de récompense Chick-fil-A One.

Comme le FBI l’a récemment averti, les attaques de credential stuffing augmentent en volume et en fréquence en raison des outils automatisés facilement disponibles et des listes agrégées faciles à obtenir des informations d’identification volées.

« Comme allégué, Garrison a obtenu un accès non autorisé aux comptes des victimes en utilisant une cyberattaque sophistiquée pour voler des centaines de milliers de dollars », a déclaré aujourd’hui le directeur adjoint en charge du FBI, Michael J. Driscoll.

« Les cyber-intrusions visant à voler les fonds de particuliers représentent un risque sérieux pour notre sécurité économique. La lutte contre les cyberattaques et la responsabilisation des auteurs de menaces responsables dans le système de justice pénale restent une priorité absolue pour le FBI. »

Mise à jour : article révisé après confirmation que DraftKings était bien la cible de l’attaque de bourrage d’informations d’identification. Ajout d’une déclaration de DraftKings.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *