L’arrestation du baron russe du cybercrime secoue le milieu du carding

3
132

L’arrestation du présumé baron de la cybercriminalité russe Romain Seleznev semble coïncider avec plusieurs fermeture de sites underground dédiés à la vente de données bancaires piratés, tous spécialisés dans le carding. Explications.

Le ministère de la Justice des États-Unis a accumulé plusieurs accusations portées contre le présumé baron de la cybercriminalité Romain Seleznev, un ressortissant russe arrêté et emmené à Guam par les agents fédéraux américains lors de ses vacances aux Maldives.

Ils e trouve que les chefs d’accusation retenus à l’encontre de Seleznev peuvent aider à expliquer le temps d’arrêt prolongé d’une célèbre boutique en ligne pirate dédiée à la fraude bancaire, directement gérée par la cybercriminalité underground : 2pac[dot]cc.

Le gouvernement américain allègue que le pirate informatique connu dans l’underground comme “nCux” et “Boulba” était Romain Seleznev, un citoyen russe âgé de 30 ans, qui a été arrêté en juillet 2014 dans le plus grand secret par le US Secret Service. Selon les rapports des médias russes, le jeune homme est le fils d’un homme politique russe de premier plan. Seleznev a été initialement identifié par le gouvernement en 2012, quand il a été nommé dans le cadre d’un complot impliquant plus de trois douzaines de marchands populaires sur cardeur[dot]su, un forum de fraude animé où Boulba et les autres membres commercialisaient ouvertement divers services axés sur la cybercriminalité (voir l’acte d’accusation original ici).

Selon l’acte d’accusation initial de Seleznev, il aurait été fait partie d’un groupe qui a piraté des restaurants entre 2009 et 2011 et ayant implanté des logiciels malveillants dans le but de voler des données de cartes bancaires via les terminaux de point de vente en magasin. L’acte d’accusation allègue en outre que Seleznev et ses complices anonymes ont utilisés des surnoms en ligne pour vendre des cartes de crédit et de débit volées sur les boutiques illégales bulba[dot]cc et track2[dot]name. Les clients de ces services payaient discrètement et anonymement en monnaie virtuelle, via WebMoney et Bitcoin.

2packcc

Mais la semaine dernière, les procureurs américains ont ajoutés aux 11 précédents chefs d’accusation contre Seleznev un autre élément, à savoir qu’il a également vendu des données de cartes de crédit volées sur un site de carding populaire appelé 2pac[dot]cc. Fait intéressant, l’arrestation de Seleznev coïncide exactement avec une période d’arrêt prolongée de 2pac[dot]cc, au cours de laquelle des clients réguliers de la boutique underground se sont plaints sur divers forums dédiés à la cybercriminalité que le propriétaire de la boutique avait disparu et qu’il ne répondait plus aux demandes de la clientèle…

Quelques semaines après l’arrestation de Seleznev, il semble qu’une nouvelle personne ait commencé à prendre le contrôle des opérations réalisées sur 2pac[dot]cc (dumps). Cette personne a récemment publié un message sur la page d’accueil afin de s’excuser pour l’arrêt prolongé du site de carding, en indiquant au passage que de nouvelles cartes volées ont été ajoutées à l’inventaire de la boutique. Le message, en date du 8 août 2014, explique que le propriétaire original de la boutique était indisponible parce qu’il a été hospitalisé suite à un accident de voiture :

2pac-gone

2pac n’est qu’une boutique frauduleuse de vente de cartes bancaires volées parmi des dizaines d’autres. Grâce aux multiples piratages bancaires d’envergures touchant régulièrement des sites et des grandes enseignes de la distribution, les inventaires sont bien remplis. Le facteur le plus important permettant aux propriétaires d’une boutique pirate de se différencier des autres est de fournir un excellent service client en plus d’un large choix de “cvv dumps“.

Beaucoup de ces boutiques underground, y compris 2pac[dot]cc, essaient de satisfaire au maximum les clients en incluant un service en ligne de contrôle de carte bancaire qui leur permet de tester des cartes achetées en utilisant des comptes marchands compromis, afin de vérifier que les cartes sont toujours actives et valides. La plupart des boutiques sont configurés pour rembourser automatiquement le client de la valeur de toutes les cartes qui reviennent comme refusées par le service de contrôle interne.

Ce même service carte de contrôle est également intégré dans le site rescator[dot]cc, un autre magasin de cartes piratées connu pour être la source de certaines cartes volées récemment aux USA. Une analyse suggère que Rescator est un jeune homme, basé à Odessa en Ukraine.

Vous noterez au passage que les nom de domaines ont la plupart du temps la terminaison .cc, qui appartien aux Îles Cocos en Australie.

swipedsu

Il s’avère que Rescator est un fournisseur majeur de cartes volées, qui en fournit à d’autres magasins underground concurrents, y compris swiped1[dot]su, un site de carding qui a évolué sous diverses formes depuis 2008, comme le montre ce rapport (PDF) publié par la société de sécurité informatique russe Group-IB, qui dit avoir découvert un moyen d’afficher les statistiques administratives du site Web swiped1[dot]su. Group-IB a constaté qu’un utilisateur nommé Rescator était de loin le plus grand fournisseur de cartes volées de la boutique, fournissant quelques 5 306 024 cartes à la boutique au fil des ans (!).

 

Traduction française de l’article de KrebsonSecurity.

Les commentaires sont fermés.