Un cybercriminel présumé soupçonné d’avoir extorqué des entreprises sous le nom de « DESORDEN Group » ou « ALTIDORE » a été arrêté en Thaïlande pour avoir divulgué les données volées de plus de 90 organisations dans le monde entier.
Le suspect a été arrêté à Bangkok grâce à une opération de maintien de l’ordre menée par la Police royale thaïlandaise et la Police de Singapour, avec l’aide d’experts du Groupe IB.
Le cybercriminel, qui opérait depuis 2020 sous plusieurs pseudonymes tels que ALTDO, DESORDEN, GHOST et 0mid16B, a volé et divulgué/vendu plus de 13 To de données personnelles aux organisations.
Group-IB affirme que le pirate informatique était « l’un des cybercriminels les plus actifs en Asie-Pacifique depuis 2021 », ciblant principalement des entités en Thaïlande, à Singapour, en Malaisie, en Indonésie et en Inde.
Le cybercriminel a également touché des entreprises en Europe et en Amérique du Nord, avec 20 fuites de données concernant des organisations dans ces régions.
La firme de cybersécurité a noté que l’auteur de la menace était particulièrement évasif et que sa pratique consistant à passer à de nouveaux alias et personnages en ligne compliquait si souvent les enquêtes et retardait sa traque.
Group-IB affirme que le modus operandi du pirate informatique était fortement axé sur le chantage de haut niveau, contactant souvent la presse pour exercer une pression maximale sur les victimes.
« L’objectif principal de ses attaques était d’exfiltrer les bases de données compromises contenant des données personnelles et d’exiger un paiement pour ne pas les divulguer au public », peut-on lire dans le communiqué de presse du Groupe IB.
« Si la victime refusait de payer, il n’annonçait pas les fuites sur les forums du dark web. Au lieu de cela, il a informé les médias ou les régulateurs de la protection des données personnelles, dans le but d’infliger de plus grands dommages à la réputation et aux finances de ses victimes. »
Le pirate informatique a également eu recours à l’envoi d’e-mails aux clients de ses victimes et, dans de rares cas, a même crypté les bases de données de l’entreprise compromise.
Un cas notable de l’époque où le pirate opérait sous le personnage de « Désordre » est le piratage et le vol de données sur le géant informatique taïwanais Acer.
Pour violer les réseaux d’entreprise, le cybercriminel a utilisé « sqlmap » pour des attaques par injection SQL et a exploité des serveurs RDP (Remote Desktop Protocol) vulnérables pour déposer des balises CobaltStrike dans l’environnement de la victime.
Cobalt Strike est une suite de tests d’intrusion légitime mais largement utilisée, avec des versions fissurées utilisées par les cybercriminels pour mener des activités malveillantes dans des environnements piratés.
Malgré le grand nombre de violations, Group-IB affirme que le pirate n’a pas effectué de mouvement latéral significatif, se concentrant plutôt sur l’exfiltration rapide des données vers des serveurs cloud et l’extorsion de victimes.
La descente de la police thaïlandaise dans les locaux du pirate informatique a abouti à la confiscation de plusieurs articles, y compris des ordinateurs portables et des produits de luxe qui auraient été achetés avec le produit de la cybercriminalité.
Le média thaïlandais The Nation rapporte que le suspect est un homme de 39 ans nommé Chia, qui a été arrêté hier à Bangkok.
Selon le même média, la Chine a déjà reconnu sa culpabilité, affirmant qu’il travaillait seul, vendant des données volées à des acheteurs pour 10 000 dollars.
Le suspect fait maintenant face à de multiples accusations, y compris l’accès non autorisé à des systèmes informatiques et des données protégés, la tentative d’extorsion et la résidence illégale.