Malware RedLine : Have I Been Pwned contient 441 000 comptes compromis
L'auteur de Have I Been Pwned a ajouté à la base du site les informations de plus de 441 000 comptes dérobés par le malware RedLine dans le cadre de ses campagnes d'attaques.
Le malware RedLine est très actif depuis plusieurs mois et il est diffusé au travers de campagnes de phishing, mais aussi de certains sites, notamment des sites liés aux téléchargements illégaux. Dès lors qu'il est en place sur votre machine, il va entrer en action afin de dérober un maximum d'informations : identifiants, numéro de cartes bancaires, identifiants VPN, identifiants FTP, cookies, etc... En fonction de ce qui est mémorisé à droite à gauche dans votre navigateur et les logiciels présents sur votre poste. Il peut également télécharger des exécutables afin de réaliser d'autres actions malveillantes.
Les données collectées sont stockées au sein d'une archive nommée "Logs" et qui est ensuite envoyée vers un serveur distant. Chaque archive est revendue 5$ sur le dark web ou utilisée pour compromettre les comptes de l'utilisateur. Il s'avère que le chercheur en sécurité Bob Diachenko a découvert un serveur qui exposait 6 millions d'enregistrements collectés entre août et septembre 2021. D'ailleurs, il a pu faire le rapprochement entre certains comptes présents dans cette liste et les alertes reçues par certains utilisateurs de LastPass la semaine dernière. Néanmoins, ce serveur ne semble plus être utilisé par les pirates, car le nombre d'enregistrements n'augmente pas.
Bob Diachenko a pris contact avec Troy Hunt, l'auteur du site Have I Been Pwned, afin qu'il puisse ajouter les informations récoltées sur ce serveur au sein de la base du site. Sur les 6 millions d'enregistrements, on retrouve 441 657 adresses e-mails uniques.
Si votre adresse e-mail apparaît dans cette liste associée au malware RedLine, c'est une très mauvaise nouvelle. Puisque le malware est capable de récupérer des informations diverses et variées comme évoquées ci-dessus, il va falloir modifier une multitude de mots de passe pour être sûr de sécuriser les différents accès. Cela peut représenter un travail conséquent... Et surtout, c'est à faire dès que possible pour éviter que la situation se dégrade... En complément, il faudra penser à réaliser une analyse de son système pour retirer la souche RedLine.
Cette liste contient les enregistrements collectés entre août et septembre 2021 donc elle n'est pas exhaustive, mais cela permet de faire une vérification sur cet échantillon intéressant.
En accédant au site Have I Been Pwned et en précisant votre adresse e-mail, vous pouvez voir si vous avez été victime du malware RedLine (ou d'une autre fuite de données). Ce que je vous recommande de faire, on ne sait jamais ! 🙂
