YGG Leak
-
Je suis en train de lire le compte rendu technique de l’infiltration, c’est hallucinant de laisser de telles portes ouvertes sur le net quand on développe et maintient une infra pareille.
Je suis en train de lire le compte rendu technique de l’infiltration, c’est hallucinant de laisser de telles portes ouvertes sur le net quand on développe et maintient une infra pareille.
Juste un pauvre partage laissé ouvert et après gogogo
Coté blanchiment c’est pas mal comme technique pour effacer les trace paypal averc des shop bidon par contre il aurait du suppirmer les id de transaction, coté password ils utilisaient firefox donc base sqllite encrypté mais aussi chrome du coup du peux décrypter et avoir les accès, j’ai testé les login/.password ils marchent toujours d’ailleur ^^
Leur preprod windows server étaient pas a jour, ils ont utilisé impacket pour récupérer les hash
Bilan les gars sont très bon en dev, en blanchiment, en exfiltration de numéraire mais c’est des quiches en sécurité.
J’ai fait le calcul, sur 2025 ils sont a 3.4 m€ en paiement carte
-
Ne pouvant résister à ma curiosité, j’ai dl le .torrent (archive_ygg.torrent) mais Transmission me dit ensuite “Couldn’t get ‘archive_ygg.tar.xz’: Permission denied (13)”
Transmission ne serait-il pas complice des enflures de feu YGG ? -
un simple grand merci à Gr0lum pour avoir stopper ça et tout ça en transparence !
-
Ne pouvant résister à ma curiosité, j’ai dl le .torrent (archive_ygg.torrent) mais Transmission me dit ensuite “Couldn’t get ‘archive_ygg.tar.xz’: Permission denied (13)”
Transmission ne serait-il pas complice des enflures de feu YGG ?@arcturien Je l’ai pris il y a environ une heure, sans problème et je seede toujours, mais pas avec transmission.
-
merci duJambon. C’est moi qui avait fait une erreur. Il se télécharge… Finalement, Transmission ne s’est pas acoquiné avec les enflures.
-
Bon, ils ont laissé trainer leur passphrase de certains wallet, mais ca a été vidé ce matin a 3h33
-
Je suis en train de lire le compte rendu technique de l’infiltration, c’est hallucinant de laisser de telles portes ouvertes sur le net quand on développe et maintient une infra pareille.
@Raccoon En effet, ne pas penser à placer un UTM devant un WinSrv, exposer le port 445 sur internet…
-
Bon, ils sont en train de disséquer leur wallet bitcoin sur divers portefeuille
Grolum rend l’argent, je suis sûr que c’est toi ça a 3h du mat ^^
-
Ah oui, sacré boulot ce leak !!
-
Par contre je ne crois pas une seconde que tout ce soit fait dans l’instant, en general ca se fait sur quelques jour genre les weekend pour eviter de déclancher des soupçons et on exfiltre les données au fur et a mesure
-
Par contre je ne crois pas une seconde que tout ce soit fait dans l’instant, en general ca se fait sur quelques jour genre les weekend pour eviter de déclancher des soupçons et on exfiltre les données au fur et a mesure
@Workshop à mon avis ça fait quelques semaines qu’il était infiltré sur les serveurs d’Ygg.
Et vu la sécurité il ne devait pas y avoir beaucoup d’alertes mises en place en cas d’intrusion. -
Cela provient de ceux qui ont pirater yggtorrent ?
-
@Workshop à mon avis ça fait quelques semaines qu’il était infiltré sur les serveurs d’Ygg.
Et vu la sécurité il ne devait pas y avoir beaucoup d’alertes mises en place en cas d’intrusion. -
J’étais pas encore allé au bout de la lecture, hallucinant les fautes de sécurité digne d’un débutant.
Comment il a fait pour tenir 9 ans avant de se faire péter ? Destroy a vraiment eu une chance pas possible.Élément Valeur Username AdministratorPassword &)d(5Hj46B7h5^fQF^c(yKYRPWindows Defender DÉSACTIVÉ ( DisableAntiSpyware=true)Le mot de passe administrateur du serveur. En clair. Dans un fichier que n’importe qui pouvait lire via SphinxQL.
La partie “hack” est terminée. Tout ce qui suit est de la post-exploitation.
Phase 7 — Accès total
SMB C$
smbclient //188.253.108.198/C$ \ -U 'Administrator%&)d(5Hj46B7h5^fQF^c(yKYRP' \ --option='client min protocol=SMB2'Accès confirmé. Lecture et écriture sur l’intégralité du disque
du serveur Windows. RDP et WinRM également fonctionnels.À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.
À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.Les logs systeme confirment ce que le scan nmap laissait deviner :
Windows Firewall désactivé (Private et Public OFF)
Windows Defender absent ou désactivé
50 tentatives de login échouées en 2 minutes, provenant de 21 IPs uniques, un botnet brute-force permanent sur cette machine
6 IPs VPN/proxy différentes connectées en RDP entre le 15 et le 21 février, toutes en tant qu’Administrator
Une session RDP active depuis 146.59.181.110 (OVH) au moment du scan initial (découverte étrange puisqu’après quelques scan il s’agirait d’un serveur appartenant à agralis.fr. J’ai pas cherché plus loin que ça) -
La je me susi connecté sur rakaxa
-
Perso, je n’irai pas m’amuser à me connecter.
-
C’est un truc de fou cette histoire quand même
-
J’étais pas encore allé au bout de la lecture, hallucinant les fautes de sécurité digne d’un débutant.
Comment il a fait pour tenir 9 ans avant de se faire péter ? Destroy a vraiment eu une chance pas possible.Élément Valeur Username AdministratorPassword &)d(5Hj46B7h5^fQF^c(yKYRPWindows Defender DÉSACTIVÉ ( DisableAntiSpyware=true)Le mot de passe administrateur du serveur. En clair. Dans un fichier que n’importe qui pouvait lire via SphinxQL.
La partie “hack” est terminée. Tout ce qui suit est de la post-exploitation.
Phase 7 — Accès total
SMB C$
smbclient //188.253.108.198/C$ \ -U 'Administrator%&)d(5Hj46B7h5^fQF^c(yKYRP' \ --option='client min protocol=SMB2'Accès confirmé. Lecture et écriture sur l’intégralité du disque
du serveur Windows. RDP et WinRM également fonctionnels.À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.
À partir de là, accès complet au serveur de pré-prod de YGGtorrent, celui où tout le code est testé avant déploiement en production.Les logs systeme confirment ce que le scan nmap laissait deviner :
Windows Firewall désactivé (Private et Public OFF)
Windows Defender absent ou désactivé
50 tentatives de login échouées en 2 minutes, provenant de 21 IPs uniques, un botnet brute-force permanent sur cette machine
6 IPs VPN/proxy différentes connectées en RDP entre le 15 et le 21 février, toutes en tant qu’Administrator
Une session RDP active depuis 146.59.181.110 (OVH) au moment du scan initial (découverte étrange puisqu’après quelques scan il s’agirait d’un serveur appartenant à agralis.fr. J’ai pas cherché plus loin que ça) -
@Workshop c’est un service assez incroyable pour les infos qu’il est capable de donner, mais il faut payer pour l’utiliser.
Ils auraient été aussi peu méfiant ? En meme temps ils étaient pas trop du genre a regarder les log de connexion, ils étaient plutôt centré sur les log de paiement 
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
S'inscrire Se connecter