Après le démantèlement du réseau de hackers LockBit au mois de février, Europol inscrit une nouvelle proie à son tableau de chasse. En coordination avec les forces de l’ordre de 19 pays, l’agence européenne vient de mettre un sérieux coup de frein aux activités de LabHost, l’une des plus grandes plateformes mondiales de phishing-as-a-service (PaaS).
70 perquisitions, la plupart au Royaume-Uni
70 perquisitions ont été menées entre le 14 et le 17 avril un peu partout dans le monde, notamment en Australie et au Royaume-Uni où quatre individus ont été arrêtés. L’un d’entre eux serait le développeur initial de la plateforme fondée en 2021 au Canada, selon la police fédérale australienne. Une affirmation corroborée par la société singapourienne de cybersécurité Group-IB qui a également participé à l’enquête.
Pour rappel, le PaaS est un modèle où des individus ou des groupes fournissent des services de phishing, ou hameçonnage, à d’autres personnes moyennant des frais. Contrairement au phishing traditionnel où un hacker crée lui-même des e-mails ou des sites web de phishing, le PaaS délègue cette tâche à des tiers. Cela permet à des individus malveillants moins compétents d’accéder à des outils et des techniques sophistiqués de phishing pour mener des attaques contre des cibles choisies, augmentant ainsi la menace globale.
70 000 Britanniques piégés par les utilisateurs de LabHost
Grâce aux outils d’hameçonnage « clé en main » de LabHost, 2000 utilisateurs actifs auraient ainsi créé quelque 40 000 sites web frauduleux, copies quasi identiques de sites web d’institutions bancaires, de l’administration publique ou de la plateforme de streaming Netflix. D’après Europol, au moins 70 000 Britanniques auraient été piégés, saisissant leurs coordonnées sur ces faux sites web. Les hackeurs n’avaient plus qu’à récupérer ces informations pour pirater les vrais comptes de leurs victimes.
En tout, les utilisateurs de LabHost auraient obtenu 80 000 numéros de carte de crédit, 64 000 codes PIN, ainsi que plus d’un million de mots de passe. Les gestionnaires de la plateforme pirate auraient quant à eux empoché près de 1,7 million de dollars grâce aux frais d’abonnement (249 dollars par mois pour une personnalisation des services, ensuite déployables en une poignée de clics).
Si tous les sites web associés au réseau criminel ont été déconnectés, les forces de l‘ordre restent cependant sur leur garde. En effet, il est tout à fait possible que les hackeurs responsables de la plateforme, qui n’ont pas tous été appréhendés, poursuivent leur activité sur le dark web. C’est apparemment ce qui s’est passé avec Lockbit, malgré la fermeture de 22 sites et la désactivation de 34 serveurs utilisés par ce groupe de cybercriminels, connu pour ses attaques de rançongiciels.