Depuis plus de six mois, ZATAZ vous alerte sur l’activité inquiétante d’un groupe de pirates informatiques, responsables de multiples fuites de données. En juillet 2024, ce groupe revendait les bases de données de grandes enseignes telles que Norauto, Feu Vert, LDLC, i-Run, ou encore SFR, et bien d’autres. Mais depuis fin septembre, ces pirates semblent avoir disparu des radars. Une disparition qui coïncide avec une recrudescence d’alertes de cybersécurité chez plusieurs entreprises. Sont-ils encore actifs ? Ont-ils été arrêtés ? Décryptage d’une activité cybercriminelle à l’impact significatif.
Les « Frérots K » : une activité bien rodée
Les « Frérots K », tels que nous les avons baptisés, avaient une méthode claire : compiler et vendre des bases de données issues de cyberattaques ou de scrapping. Leur « catalogue », publié cet été, contenait des informations provenant de sites très connus : i-run.fr, foot-store.fr, deporvillage.fr, norauto.fr, feuvert.fr, euromaster.fr, oscaro.com, ldlc.com, sport2000.fr ; des bases liées à des opérateurs comme Lycamobile, Coriolis, et SFR ou encore de plateformes spécialisées telles que Shadow.tech (vieux hacker) et Mister-Auto.com. Le groupe se démarquait par des annonces fréquentes sur le darkweb et des offres personnalisées pour leurs clients malveillants.
« Les Frérots K proposaient des bases de données à des prix attractifs, ciblant les données sensibles des clients d’entreprises majeures. »
La cyberattaque sur Norauto : une nouvelle étape ?
En septembre 2024, un pirate que nous appelons « M35 » a revendiqué une attaque contre Norauto.fr, annonçant avoir obtenu les données de 75 000 utilisateurs. Fin novembre, un autre acteur, mettait en vente sur Breached une base similaire pour 50 € ou un accès total pour 200 €. Ce dernier, banni de forums pour spamming, aurait contacté directement des utilisateurs pour vendre ses fichiers.
« Norauto a confirmé une fuite affectant près de 78 000 clients, une coïncidence troublante avec les annonces sur le darkweb. »
Le groupe Norauto a déclaré avoir été victime d’un acte de cybermalveillance ciblant son service de location, impactant les données personnelles de 78 000 clients. Les informations compromises incluaient des noms, adresses, numéros de téléphone, adresses e-mail, numéros de cartes de fidélité et, dans certains cas, des pièces d’identité.
Une connexion avec les Frérots K ?
La proximité des chiffres et des annonces entre Norauto et les activités des Frérots K laisse penser que ce groupe pourrait être à l’origine de ces récentes fuites. Leur disparition à la fin septembre coïncide étrangement avec la montée en vigilance des entreprises et les alertes envoyées par plusieurs enseignes victimes de cyberattaques. Parmi leurs autres cibles potentielles, des entreprises comme Au Vieux Campeur, Rue Montgallet, Bouygues Telecom, ou encore Cyber Tek. Pour l’opérateur téléphonique, ZATAZ a des preuves de la revente de fiches clients, comme ce fût le cas pour Free ou encore SFR.
Que sont-ils devenus ?
Il est difficile de savoir si les Frérots K ont cessé leurs activités de leur propre chef, si leurs membres ont été arrêtés ou s’ils opèrent désormais sous d’autres pseudonymes. Les récentes fuites et ventes de données, notamment celles liées à Norauto, montrent que le marché des bases de données reste trés actif via des acteurs malveillants, souvent trés jeune, et inconscient des implictions juridiques qui planent au dessus de leur tête et de celles de leurs parents.
Pour les entreprises victimes, l’impact est double :
Une perte de confiance des clients, qui s’attendent à une protection efficace de leurs données.
Des coûts importants liés à la gestion de l’incident, incluant les enquêtes, la mise en conformité avec la CNIL, et les possibles amendes.
Pour les utilisateurs, les risques incluent :
Hameçonnage : Les pirates peuvent exploiter ces données pour cibler les victimes avec des messages frauduleux.
Usurpation d’identité : Les informations personnelles, notamment les pièces d’identité, peuvent être utilisées à des fins malveillantes.
Intrusion dans la vie privée : Avec des informations comme les numéros de cartes de fidélité, des cybercriminels peuvent analyser les habitudes de consommation. ZATAZ vous a souvent montré des business autour des cartes de fidélité.
Cybercriminalité : les Frérots K dévoilaient des services inquiétants sur le dark web
Depuis plusieurs mois, le groupe de pirates informatiques surnommé les Frérots K par ZATAZ s’est fait remarquer sur le dark web pour ses activités cybercriminelles. Ces individus, loin de se limiter à la revente de bases de données volées, proposaient également des services inquiétants, allant de recherches personnalisées sur des numéros de téléphone (LoockUp) à des canulars sophistiqués mobilisant les services d’urgence.
Des bases de données en vente libre
Les Frérots K continuaient d’alimenter le marché noir du dark web en proposant des bases de données issues de cyberattaques comme je vous l’explique plus haut, mais aussi du scrapping. Leur offre incluait des informations sensibles telles que :
- Prénom et nom de famille
- Adresses postales
- Numéros de téléphone fixe et mobile
- Emails de contact
- Références de compte
- Factures (en PDF)
Ces données « scrapping » provenaient principalement, expliquaient alors les pirates, des opérateurs téléphoniques français comme SFR, Orange, Bouygues Telecom, Free, ainsi que des opérateurs virtuels comme Lycamobile, Lebara, et Syma Mobile. Les Frérots K incitaient leurs « clients » à les contacter via Telegram pour obtenir des exemples, des prix ou des détails spécifiques sur leurs bases de données.
« Les Frérots K exploitaient des données sensibles pour les revendre à des cybercriminels, menaçant ainsi des milliers de personnes. »
Lookup opérateur : une intrusion ciblée
L’un des services phares proposés par les Frérots K était le « Lookup Opérateur ». Ce service permettait, à partir d’un numéro de téléphone, d’obtenir des informations détaillées sur son propriétaire, notamment :
- Nom et prénom
- Adresse postale
- Numéro de ligne rattaché au contrat
- Email de contact
- Références de compte
- Factures et tarifs d’abonnement
Ces informations, issues de multiples opérateurs, étaient particulièrement utiles pour des usurpations d’identité, des escroqueries ou des campagnes de phishing ciblées. Ce service constituait une arme redoutable entre les mains de cybercriminels organisés.
Un « service canular » glaçant
Les Frérots K ne se limitaient pas à la revente de données. Ils proposaient également des services destinés à semer la panique et à cibler des individus ou des organisations. Ces prestations, présentées sous le nom de « service canular », traduisait du swatting [faire envoyer les autorités chez un particulier ou une entreprise] incluaient :
- Classique : Envoi d’une vingtaine de policiers et pompiers à une adresse donnée.
- Alerte à la bombe : Évacuation de lieux publics tels que des écoles, hôtels ou stades.
- Radicalisation : Fausse dénonciation visant à faire poser des dispositifs d’écoute chez une personne.
- S.O.S Poison : Intervention des pompiers et ambulanciers pour une alerte fictive.
- Corbillard : Envoi d’un véhicule funéraire à une adresse.
- Serrurier : Déplacement d’un serrurier pour forcer une porte.
- GRDF : Mobilisation simultanée de la police, des pompiers et d’une équipe GRDF, pouvant aller jusqu’à casser une porte en l’absence de réponse.
« Les Frérots K exploitaient les failles des systèmes d’urgence pour nuire et terroriser leurs cibles. »
Les dangers de ces pratiques
Les activités des Frérots K illustrent la créativité malveillante des cybercriminels et les risques qu’elles engendrent pour les victimes :
- Atteinte à la vie privée : Les informations obtenues via le Lookup Opérateur pouvaient être utilisées pour harcèlement ou fraude.
- Mobilisation abusive des services d’urgence : Les interventions inutiles détournent les ressources des véritables urgences.
- Impact psychologique : Les canulars, comme les fausses alertes à la bombe, provoquent stress et humiliation.
- Usurpation d’identité : Les données collectées permettaient de créer de faux comptes ou de monter des arnaques sophistiquées.
Les Frérots K continuaient de sévir jusqu’à leur disparition fin septembre, profitant des failles dans les systèmes de sécurité et de l’anonymat offert par le dark web. Leur organisation et leur diversité de services en faisaient un groupe particulièrement dangereux, capable de cibler aussi bien des individus que des entreprises ou des institutions publiques. L’affaire des Frérots K/M35 et compagnie met en lumière la complexité du cybercrime organisé et la difficulté d’identifier les responsables dans des environnements anonymisés comme le darkweb. Si leur disparition semble coïncider avec une intensification des alertes des entreprises, rien ne garantit qu’ils ne reviendront pas sous une autre forme, sous un autre nom.