Cette semaine, l’agence de cybersécurité Gemini Advisory a publié les résultats d’une enquête menée au cours des six derniers mois concernant une série de vols perpétrés sur diverses plateformes de commerce électronique au monde.
Au total, le bureau indique que 570 commerces virtuels dans 55 pays, y compris la France, ont été attaqués du 1er avril 2017 jusqu’à ce jour. Selon l’étude, les vols ont été commis par des membres du groupe de hackers connu comme Magecart, se spécialisant dans l’outrage d’informations bancaires sur le plan international. Ces organisations criminelles digitales extraient les informations sensibles des cartes de paiement pour les vendre au marché noir du Dark Web.
Gemini Advisory explique être parvenu à identifier l’origine des attaques grâce à une analyse des domaines dont se servent les attaquants. Tous les indices pointaient vers un seul serveur, sur lequel se trouvaient également les données qui avaient été piratées et le logiciel malveillant utilisé lors de la cyberattaque.
Tous les sites attaqués auraient opéré sous la plateforme commerciale de libre utilisation Magento CMS, qui est exploitée par environ 250 000 e-commerçants au monde entier, dont la plupart sont situés aux États-Unis, au Royaume-Uni et aux Pays-Bas. En France, environ 25 e-commerces ont été compromis. Parmi eux figurent mauboussin.fr, yepnature.fr, maison-et-beaute.fr, mammafiore.fr, krea.fr et copat.fr.
Le groupe de cyber analystes est parvenu à obtenir un fichier clé dans le serveur des attaquants contenant les registres de différents vols effectués entre juillet 2018 et avril 2019. D’après ce « log », les données de 184 000 cartes auraient été extraites pendant cette période.
En extrapolant ce chiffre, Gemini Advisory estime que la branche « Keeper » de Magecart aurait obtenu illégalement les informations d’environ 700 000 cartes bancaires au cours de ses trois années d’opérations malveillantes. Les analystes concluent que les pirates informatiques auraient ainsi pu en tirer environ 7 millions de dollars de la vente illicite d’informations bancaires. D’après leurs recherches, le prix des données d’une carte de crédit sur la Dark Web est de 10 dollars en moyenne.
En raison de la pandémie et des restrictions à la mobilité mises en marche dans la plupart des régions du globe, les achats en ligne ont connu une forte croissance. Au cours des derniers mois, les rapports sur les attaques de Magecart ont aussi augmenté considérablement.
En mars 2020, le site de vente en ligne de la société NutriBullet a été ciblé par des hackers Magecart. L’année dernière, les informations sensibles de près de 500 000 clients de British Airways ont été volées par les mêmes méthodes.
Selon les informations de Gemini Advisory, Keeper Magecart comprend 64 domaines d’attaque et 73 domaines d’exfiltration. Leurs données indiquent que, tout au long de ses trois années d’existence, le groupe de pirates a raffiné ses méthodes de piratage, ce qui pourrait annoncer des attaques plus sophistiquées dans l’avenir.
L’agence souligne également que le CMS est un système de gestion de contenu obsolète. Le manque de connaissances et de soin de la part des techniciens système de chaque atelier rendrait les plateformes plus vulnérables aux attaques de ce type. Les recherches de Gemini Advisory ont montré qu’une partie du piratage s’est faite avec des méthodes simples, qui auraient pu être évitées si les plateformes avaient été correctement entretenues.
La liste complète des sites attaqués peut être consultée ici.
Source de l’image : geminiadvisory.io