Fuites de données : que sont devenus les « Frérots K » ?

Posted On 04 Déc 2024

Tag: Double K, Frérots K, leak client, lookUP opérateur

Depuis plus de six mois, ZATAZ vous alerte sur l’activité inquiétante d’un groupe de pirates informatiques, responsables de multiples fuites de données. En juillet 2024, ce groupe revendait les bases de données de grandes enseignes telles que Norauto, Feu Vert, LDLC, i-Run, ou encore SFR, et bien d’autres. Mais depuis fin septembre, ces pirates semblent avoir disparu des radars. Une disparition qui coïncide avec une recrudescence d’alertes de cybersécurité chez plusieurs entreprises. Sont-ils encore actifs ? Ont-ils été arrêtés ? Décryptage d’une activité cybercriminelle à l’impact significatif.

Les « Frérots K » : une activité bien rodée

Les « Frérots K », tels que nous les avons baptisés, avaient une méthode claire : compiler et vendre des bases de données issues de cyberattaques ou de scrapping. Leur « catalogue », publié cet été, contenait des informations provenant de sites très connus : i-run.fr, foot-store.fr, deporvillage.fr, norauto.fr, feuvert.fr, euromaster.fr, oscaro.com, ldlc.com, sport2000.fr ; des bases liées à des opérateurs comme Lycamobile, Coriolis, et SFR ou encore de plateformes spécialisées telles que Shadow.tech (vieux hacker) et Mister-Auto.com. Le groupe se démarquait par des annonces fréquentes sur le darkweb et des offres personnalisées pour leurs clients malveillants.

« Les Frérots K proposaient des bases de données à des prix attractifs, ciblant les données sensibles des clients d’entreprises majeures. »

La cyberattaque sur Norauto : une nouvelle étape ?

En septembre 2024, un pirate que nous appelons « M35 » a revendiqué une attaque contre Norauto.fr, annonçant avoir obtenu les données de 75 000 utilisateurs. Fin novembre, un autre acteur, mettait en vente sur Breached une base similaire pour 50 € ou un accès total pour 200 €. Ce dernier, banni de forums pour spamming, aurait contacté directement des utilisateurs pour vendre ses fichiers.

« Norauto a confirmé une fuite affectant près de 78 000 clients, une coïncidence troublante avec les annonces sur le darkweb. »

Le groupe Norauto a déclaré avoir été victime d’un acte de cybermalveillance ciblant son service de location, impactant les données personnelles de 78 000 clients. Les informations compromises incluaient des noms, adresses, numéros de téléphone, adresses e-mail, numéros de cartes de fidélité et, dans certains cas, des pièces d’identité.

La « vente » avortée sur Breached. – Capture zataz.com

La liste des entreprises annoncées comme infiltrées par le FK

- i-run.fr - foot-store.fr - deporvillage.fr - norauto.fr - feuvert.fr - euromaster.fr - mister-auto.com - corsegsm.com - lycamobile.fr - coriolis.com - shadow.tech - oscaro.com - ldlc.com - sport2000.fr - sfr.fr - alltricks.fr - privat8sportshop.fr - probikeshop.fr - snowl2ader.com - lecyclo.com - auvieuxcampeur.fr - poli.fr - ubaldi.com - son-vid9o.com - grosbill.com - topachat.com - cybertek.fr - inmac-wstore.com - pccomponentes.fr - rue-montgallet.com

Une connexion avec les Frérots K ?

La proximité des chiffres et des annonces entre Norauto et les activités des Frérots K laisse penser que ce groupe pourrait être à l’origine de ces récentes fuites. Leur disparition à la fin septembre coïncide étrangement avec la montée en vigilance des entreprises et les alertes envoyées par plusieurs enseignes victimes de cyberattaques. Parmi leurs autres cibles potentielles, des entreprises comme Au Vieux Campeur, Rue Montgallet, Bouygues Telecom, ou encore Cyber Tek. Pour l’opérateur téléphonique, ZATAZ a des preuves de la revente de fiches clients, comme ce fût le cas pour Free ou encore SFR.

Que sont-ils devenus ?

Il est difficile de déterminer si les Frérots K ont cessé leurs activités de leur propre initiative, si leurs membres ont été arrêtés ou s’ils opèrent désormais sous d’autres pseudonymes. Les récentes fuites et ventes de données, notamment celles impliquant Norauto, montrent que le marché des bases de données reste très actif, alimenté par des acteurs malveillants souvent très jeunes et inconscients des lourdes implications juridiques qui pèsent sur eux et leurs parents.

Un pirate commercialisait, en septembre, une base de données. – Capture écran zataz.com

Pour les entreprises victimes, l’impact est double :

Une perte de confiance des clients, qui s’attendent à une protection efficace de leurs données.
Des coûts importants liés à la gestion de l’incident, incluant les enquêtes, la mise en conformité avec la CNIL, et les possibles amendes.

Pour les utilisateurs, les risques incluent :

Hameçonnage : Les pirates peuvent exploiter ces données pour cibler les victimes avec des messages frauduleux.
Usurpation d’identité : Les informations personnelles, notamment les pièces d’identité, peuvent être utilisées à des fins malveillantes.
Intrusion dans la vie privée : Avec des informations comme les numéros de cartes de fidélité, des cybercriminels peuvent analyser les habitudes de consommation. ZATAZ vous a souvent montré des business autour des cartes de fidélité.

Cybercriminalité : les Frérots K dévoilaient des services inquiétants sur le dark web

Depuis plusieurs mois, le groupe de pirates informatiques surnommé les Frérots K par ZATAZ s’est fait remarquer sur le dark web pour ses activités cybercriminelles. Ces individus, loin de se limiter à la revente de bases de données volées, proposaient également des services inquiétants, allant de recherches personnalisées sur des numéros de téléphone (LoockUp) à des canulars sophistiqués mobilisant les services d’urgence.

Des bases de données en vente libre

Les Frérots K continuaient d’alimenter le marché noir du dark web en proposant des bases de données issues de cyberattaques comme je vous l’explique plus haut, mais aussi du scrapping. Leur offre incluait des informations sensibles telles que :

Prénom et nom de famille
Adresses postales
Numéros de téléphone fixe et mobile
Emails de contact
Références de compte
Factures (en PDF)

Ces données « scrapping » provenaient principalement, expliquaient alors les pirates, des opérateurs téléphoniques français comme SFR, Orange, Bouygues Telecom, Free, ainsi que des opérateurs virtuels comme Lycamobile, Lebara, et Syma Mobile. Les Frérots K incitaient leurs « clients » à les contacter via Telegram pour obtenir des exemples, des prix ou des détails spécifiques sur leurs bases de données.

« Les Frérots K exploitaient des données sensibles pour les revendre à des cybercriminels, menaçant ainsi des milliers de personnes. »

Les pirates proposaient des LookUp pour plusieurs opérateurs. Capture zataz.com

Lookup opérateur : une intrusion ciblée

L’un des services phares proposés par les Frérots K était le « Lookup Opérateur ». Ce service permettait, à partir d’un numéro de téléphone, d’obtenir des informations détaillées sur son propriétaire, notamment :

Nom et prénom
Adresse postale
Numéro de ligne rattaché au contrat
Email de contact
Références de compte
Factures et tarifs d’abonnement

Ces informations, issues de multiples opérateurs, étaient particulièrement utiles pour des usurpations d’identité, des escroqueries ou des campagnes de phishing ciblées. Ce service constituait une arme redoutable entre les mains de cybercriminels organisés.

Un « service canular » glaçant

Les Frérots K ne se limitaient pas à la revente de données. Ils proposaient également des services destinés à semer la panique et à cibler des individus ou des organisations. Ces prestations, présentées sous le nom de « service canular », traduisait du swatting [faire envoyer les autorités chez un particulier ou une entreprise] incluaient :

Classique : Envoi d’une vingtaine de policiers et pompiers à une adresse donnée.
Alerte à la bombe : Évacuation de lieux publics tels que des écoles, hôtels ou stades.
Radicalisation : Fausse dénonciation visant à faire poser des dispositifs d’écoute chez une personne.
S.O.S Poison : Intervention des pompiers et ambulanciers pour une alerte fictive.
Corbillard : Envoi d’un véhicule funéraire à une adresse.
Serrurier : Déplacement d’un serrurier pour forcer une porte.
GRDF : Mobilisation simultanée de la police, des pompiers et d’une équipe GRDF, pouvant aller jusqu’à casser une porte en l’absence de réponse.

« Les Frérots K exploitaient les failles des systèmes d’urgence pour nuire et terroriser leurs cibles. »

LookUp orchestrait par les pirates. Capture zataz.com

Les dangers de ces pratiques

Les activités des Frérots K illustrent la créativité malveillante des cybercriminels et les risques qu’elles engendrent pour les victimes :

Atteinte à la vie privée : Les informations obtenues via le Lookup Opérateur pouvaient être utilisées pour harcèlement ou fraude.
Mobilisation abusive des services d’urgence : Les interventions inutiles détournent les ressources des véritables urgences.
Impact psychologique : Les canulars, comme les fausses alertes à la bombe, provoquent stress et humiliation.
Usurpation d’identité : Les données collectées permettaient de créer de faux comptes ou de monter des arnaques sophistiquées.

Les Frérots K continuaient de sévir jusqu’à leur disparition fin septembre, profitant des failles dans les systèmes de sécurité et de l’anonymat offert par le dark web. Leur organisation et leur diversité de services en faisaient un groupe particulièrement dangereux, capable de cibler aussi bien des individus que des entreprises ou des institutions publiques. L’affaire des Frérots K/M35 et compagnie met en lumière la complexité du cybercrime organisé et la difficulté d’identifier les responsables dans des environnements anonymisés comme le darkweb. Si leur disparition semble coïncider avec une intensification des alertes des entreprises, rien ne garantit qu’ils ne reviendront pas sous une autre forme, sous un autre nom.

Pour ne rien manquer des actualités sur les cybermenaces, abonnez-vous dès maintenant à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données. Ensemble, restons vigilants face à la cybercriminalité.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.