Le ministère de la Justice a révélé aujourd’hui qu’un homme de 18 ans nommé Joseph Garrison, originaire du Wisconsin, avait été accusé d’avoir piraté les comptes d’environ 60 000 utilisateurs du site de paris sportifs DraftKings en novembre 2022.
Selon la plainte, le suspect a utilisé une longue liste d’informations d’identification provenant d’autres violations pour pirater les comptes. Il a ensuite vendu les comptes piratés et les acheteurs ont volé environ 600 000 dollars sur environ 1 600 comptes compromis.
Garrison et ses co-conspirateurs ont conçu une méthode permettant aux acheteurs des comptes volés de retirer tous les fonds, leur demandant d’ajouter un nouveau mode de paiement aux comptes piratés, de déposer une somme nominale de 5 $ via le mode de paiement nouvellement ajouté pour vérifier sa validité, puis retirer tous les fonds existants des comptes des victimes vers un compte financier distinct sous le contrôle des attaquants.
Lors d’une perquisition au domicile de Garrison en février 2023, les forces de l’ordre ont trouvé des outils couramment utilisés dans les attaques de bourrage d’informations d’identification (notamment OpenBullet et SilverBullet) qui nécessitent des fichiers de « configuration » personnalisés pour chaque site Web ciblé.
Environ 700 fichiers de configuration de dizaines de sites Web d’entreprise ont été trouvés sur l’ordinateur du suspect, dont 11 fichiers distincts pour le site de paris attaqué en novembre.
De plus, la recherche a également conduit à la découverte d’au moins 69 fichiers (appelés listes de mots) contenant environ 38 484 088 combinaisons de nom d’utilisateur et de mot de passe, également utilisées dans des attaques de credential stuffing.
En analysant le téléphone de Garrison, les agents des forces de l’ordre ont trouvé des preuves supplémentaires impliquant l’accusé dans l’attaque d’accréditation de novembre 2022 contre la plateforme de paris, notamment des discussions avec des co-conspirateurs concernant le piratage du site Web.
Dans l’une de ces conversations, Garrison a même exprimé sa conviction que les forces de l’ordre seraient incapables de l’appréhender ou de le poursuivre, déclarant : « la fraude est amusante… je suis accro à voir de l’argent sur mon compte… je suis comme obsédé par le fait de contourner la merde. »
L’attaque des identifiants DraftKings
Bien que le ministère de la Justice n’ait pas nommé le site de paris ciblé par l’attaque, BleepingComputer est au courant d’un stratagème visant à la fois DraftKings (1, 2) et FanDuel en novembre 2022.
« La sûreté et la sécurité des informations personnelles et de paiement de nos clients sont d’une importance capitale pour DraftKings. Nous avons travaillé avec les forces de l’ordre pour arrêter le ou les mauvais acteurs présumés, et nous souhaitons remercier le ministère de la Justice, y compris le FBI et les États-Unis. procureur du district sud de New York, pour son action rapide et efficace », a déclaré DraftKings à BleepingComputer aujourd’hui dans un communiqué.
« Comme nous l’avons indiqué précédemment, des acteurs malveillants ont pu utiliser les informations de connexion obtenues auprès d’une source tierce pour accéder à certains comptes d’utilisateurs. Lorsque l’incident de bourrage d’informations d’identification identifié s’est produit en novembre 2022, DraftKings a informé les clients des juridictions concernées. et des montants restaurés pour un nombre limité d’utilisateurs qui pourraient avoir vu des fonds indûment retirés de leurs comptes.
DraftKings a révélé pour la première fois le 21 novembre que jusqu’à 300 000 $ avaient été volés sur des comptes piratés lors d’une attaque d’identifiants.
En novembre, après avoir appris que plus de 300 000 $ avaient été volés, BleepingComputer a contacté DraftKings et on lui a répondu : « Votre source est incorrecte, tant sur le montant en dollars que sur le nombre de clients concernés. »
Un mois plus tard, la société de paris sportifs a déclaré avoir remboursé des centaines de milliers de dollars volés après que les comptes de 67 995 clients aient été piratés lors de l’incident (correspondant au nombre de comptes mentionné dans la plainte et dans le communiqué de presse du DOJ).
Au cours de la même période en novembre, les clients de FanDuel ont signalé des comptes compromis suite à des attaques de type credential stuffing, les comptes piratés étant vendus sur des marchés de cybercriminalité pour seulement 2 dollars.
Garrison est connu pour avoir dirigé le site Web « Goat Shop » vendant des comptes DraftKings et FanDuel piratés après les deux attaques.
« Sur le Garrison Phone, les forces de l’ordre ont trouvé une photo non datée montrant que Goat Shop avait vendu 225 247 produits pour un chiffre d’affaires total de 2 135 150,09 $ », indique la plainte.
Les mêmes instructions détaillées sur la façon de vider les comptes DraftKings violés ont été fournies sur une autre boutique en ligne qui correspondent aux instructions vues sur le site Web Garrison’s Goat Shop dans la plainte.
Les co-conspirateurs suivaient également la réponse de DraftKings aux incidents et, à un moment donné, ils ont averti que tous les comptes violés étaient désormais verrouillés après que l’entreprise ait réinitialisé les mots de passe des comptes concernés.
À la suite de l’attaque de novembre, DraftKings a conseillé à ses clients de ne jamais utiliser le même mot de passe pour plusieurs services, d’activer immédiatement 2FA sur leurs comptes et de dissocier leurs comptes bancaires ou de supprimer leurs coordonnées bancaires pour bloquer les demandes de retrait frauduleuses.
Chick-fil-A a également confirmé en mars (à la suite d’une enquête lancée en janvier) que 71 473 clients ont vu leurs comptes piratés lors d’une attaque de « credential stuffing » « automatisée » qui a duré plusieurs mois entre le 18 décembre 2022 et le 12 février 2023.
Les comptes volés ont également été mis en vente sur le site Web Goat Shop pour un montant pouvant aller jusqu’à 200 $, en fonction du solde du compte, du mode de paiement associé ou du montant des points de récompense Chick-fil-A One.
Comme le FBI l’a récemment averti, les attaques de credential stuffing augmentent en volume et en fréquence en raison de la disponibilité d’outils automatisés et de listes agrégées d’identifiants volés faciles à obtenir.
« Comme cela a été allégué, Garrison a obtenu un accès non autorisé aux comptes des victimes en utilisant une cyber-attaque sophistiquée pour voler des centaines de milliers de dollars », a déclaré aujourd’hui le directeur adjoint du FBI en charge, Michael J. Driscoll.
« Les cyberintrusions visant à voler les fonds de particuliers représentent un risque sérieux pour notre sécurité économique. La lutte contre les cyberattaques et la responsabilisation des auteurs de menaces responsables devant le système de justice pénale restent une priorité absolue pour le FBI. »
Mise à jour : article révisé après confirmation que DraftKings était bien la cible de l’attaque de bourrage d’informations d’identification. Déclaration ajoutée de DraftKings.