Ackanir Profile picture
Feb 21 12 tweets 5 min read Read on X
Le FBI 🇺🇸 Europol 🇪🇺 et la National Crime Agency 🇬🇧 sont littéralement en train d’humilier le groupe de cybercriminels n°1.

C’est l’Opération Cronos, c’est lunaire et ça se passe en ce moment !

Je vous ai préparé un petit résumé 🧵⬇️ Image
L’affaire tourne autour de Lockbit. Le groupe cybercriminel le plus nuisible de ces dernières années. Avec plus de 110 millions € extorqués à des entreprises et des milliards de dégâts causés.

L’opération a en fait révélé beaucoup de détails croustillants sur leur activité
Lockbit propose un "ransomware-as-a-service". Ils fournissent à des affiliés une suite d'outils pour infecter des entreprises. Et demandent ensuite une rançon pour débloquer leurs systèmes (l'affilié récupérant les 3/4 de la rançon)
Lockbit vole aussi une copie des données des entreprises, qu'ils menacent de publier si elles refusent de payer.
Je vous en parle car ils ont un site assez spectaculaire. Chaque victime a un compte à rebours avec le temps restant pour payer

Retenez le bien, j'y reviens ! Image
Lockbit est en activité depuis 2019. Et pendant ces 4 années ils avaient réussi à garder leur identité secrète. Leur site est uniquement accessible de façon anonyme sur le Darkweb.

Pourtant depuis lundi si on s’y connecte, voilà ce qui s’affiche : Image
10 pays se sont en fait associés pour stopper le groupe et réaliser cet énorme coup de filet

- 34 serveurs ont été saisis
- 200 wallets crypto bloqués
- 2 affiliés arrêtés en Ukraine & Pologne
- Et des outils de déchiffrement fournis à toutes les victimes 🎉
Mais alors, que s’est-il passé ?
Lockbit s’est fait surprendre. Et dans la panique a réagi avec un message assez clair :
“The FBI fucked up servers using PHP”
🤣

En gros les autorités auraient utilisé une faille PHP pour prendre le contrôle de leurs systèmes
Mais le plus étonnant c'est le troll dans communication autours de cette opération.

Déjà, plein d’éléments ont été révélés. On a notamment des screens de leurs outils internes pour le suivi des rançons, des utilisateurs, etc…
C'était un vrai petit backend d’entreprise !


Image
Image
Image
Image
Ensuite du côté des affiliés, un petit message des forces de l’ordre apparaît maintenant lorsqu’ils essaient de se connecter à la plateforme

“Hello X […] We may be in touch with you very soon.”

V’là le coup de pression 🤣 Image
Mais c’est pas ça plus drôle !
Je suis allé voir leur site et après quelques secondes, voilà ce qui s’est affiché :
Une parodie de la page dont je vous parlais précédemment. Mais avec des articles sur les détails de l'opération à la place des victimes Image
Le troll est total !

Comme vous le voyez, tout n’a pas encore été publié. Qui était à la tête du groupe ? Comment ces outils fonctionnaient ? Que faisaient ils de leurs cryptos ?

Je vous tiens au courant dès que c’est dispo, pensez à follow 😉 Image

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Ackanir

Ackanir Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @Ackanir

Jul 27
Je vois passer beaucoup de drama sur la cérémonie d'ouverture des JO. En réalité c'est beaucoup de références littéraires et historiques.

Je vous en ai préparé 10 que j'ai pas vu passer ici 🧵🔽
#Paris2024 Image
1. La Joconde volée

Pas de minions en 1911, mais un vitrier italien nommé "Vincenzo Peruggia". Il avait profité de son travail au Louvre pour dérober le tableau. Après l'avoir caché sous son lit pendant 2 ans, il tentera de le vendre en Italie mais se fera prendre. Image
2. La vasque volante

C’est un joli hommage aux frères Montgolfier. Mais aussi au physicien Jacques Charles qui a réalisé le premier vol d’un ballon à hydrogène. C’était en 1783 aussi dans le jardin des Tuileries et devant 400 000 personnes. Image
Read 13 tweets
Apr 16
Alertes Infos est soupçonné de réaliser des collaborations commerciales non déclarées.

Hors j'ai mené ma petite #enquête et j'ai fait des découvertes assez troublantes

🧵🔽
Comme l'a remarqué @osint_random, le compte ne partage habituellement pas les liens de ses sources.

C'est une technique classique, car ça peut nuire aux performances d'un Tweet Image
Hors j'ai trouvé quelques exceptions !

Au moins 5 sites pour lesquels les liens sont systématiquement partagés :
- Challenges
- AutoPlus
- Marie france
- Science et Vie
- Magic Maman

Et vous allez voir, ils ont tous quelque-chose en commun !
pastebin.com/SXAUvstr
Image
Read 8 tweets
Mar 8, 2023
Mario Kart 8 suspendu à cause d'une faille de sécurité critique🕹️

Le multijoueur aurait été désactivé à cause d'une RCE (Remote Code Execution). Une vulnérabilité permettant à un joueur de prendre le contrôle de votre console simplement en jouant contre vous

Explications 🧵⬇️
Il s'agit très probablement de "ENLBufferPwn'", une vulnérabilité découverte en 2021.

Voici une démo faite sur 3DS :
- Un joueur malicieux se connecte au online
- Attend de trouver d'autres joueurs
- Puis exploite la faille pour injecter du code dans leur console
C'est vicieux car:
1. Ça peut être totalement invisible pour vous
2. L'attaquant peut faire ce qu'il veut. Accéder à vos donnes, en supprimer etc.
3. Et il peut ensuite tenter d'attaquer d'autres appareils connectés sur votre réseau !

github.com/PabloMK7/ENLBu…
Read 5 tweets
Apr 9, 2022
Comment des chaînes comme celle de @Michoucroute_ se font hacker ?

Je vous partagerai ici mes découvertes au fur et à mesure de mon enquête

🧵⬇️
Déjà la méthode est quasi toujours la même.
Ce sont de fausses propositions de sponso, qui amènent des excuses pour faire télécharger un malware.

On vous envoie un faux dossier de presse, une démo d'un soit disant jeu à tester, ... Toutes les excuses sont bonnes Image
Ils usurpent les noms de vraies marques, en créant des sites avec des noms de domaines similaires.

Par ex :
MaMarque . com -> MaMarque . company

Mais les malwares ne sont jamais envoyés directement. Ça se fait après quelques échanges et une mise en confiance Image
Read 29 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(