Les chercheurs ont découvert 120 000 systèmes infectés contenant des informations d’identification pour les forums de cybercriminalité. Beaucoup d’ordinateurs appartiennent à des pirates, disent les chercheurs.
En analysant les données, les chercheurs sur les menaces ont découvert que les mots de passe utilisés pour se connecter aux forums de piratage étaient généralement plus forts que ceux des sites Web gouvernementaux.
Connexions de pirates compromises
Après avoir parcouru 100 forums sur la cybercriminalité, les chercheurs de la société de renseignements sur les menaces Hudson Rock ont découvert que certains pirates avaient infecté par inadvertance leurs ordinateurs et s’étaient fait voler leurs identifiants.
Hudson Rock affirme que 100 000 des ordinateurs compromis appartenaient à des pirates et que le nombre d’informations d’identification pour les forums de cybercriminalité dépassait 140 000.
Les chercheurs ont collecté les informations à partir de fuites accessibles au public ainsi que de journaux de voleurs d’informations provenant directement des acteurs de la menace.
Les voleurs d’informations sont un type de logiciel malveillant qui recherche des informations de connexion à des emplacements spécifiques sur l’ordinateur. Les navigateurs Web sont une cible courante, en raison de leurs fonctions de remplissage automatique et de stockage des mots de passe.
Alon Gal, directeur de la technologie chez Hudson Rock, a déclaré à Breachtrace que « les pirates du monde entier infectent les ordinateurs de manière opportuniste en promouvant les résultats de faux logiciels ou via des didacticiels YouTube invitant les victimes à télécharger des logiciels infectés ».
Parmi ceux qui sont tombés dans le piège, il y avait d’autres pirates, probablement moins qualifiés, ils ont donc été infectés comme n’importe quel autre utilisateur crédule essayant de prendre un raccourci.
Identifier les propriétaires de ces ordinateurs compromis comme des pirates, ou du moins des passionnés de pirates, a été possible en examinant les données des journaux des voleurs d’informations, qui ont également révélé la véritable identité de l’individu :
- Informations d’identification supplémentaires trouvées sur les ordinateurs (e-mails supplémentaires, noms d’utilisateur)
- Remplissage automatique des données contenant des informations personnelles (noms, adresses, numéros de téléphone)
- Informations système (noms d’ordinateur, adresses IP)
Dans un article de blog précédent, Hudson Rock décrit comment un acteur menaçant appelé La_Citrix, connu pour vendre un accès Citrix/VPN/RDP aux entreprises, a accidentellement infecté leur ordinateur.
En examinant les données collectées, Hudson Rock a déterminé que plus de 57 000 utilisateurs compromis avaient des comptes dans la communauté Nulled[.]to de cybercriminels en herbe.
Les utilisateurs de BreachForums avaient les mots de passe les plus forts pour se connecter au site, ont découvert les chercheurs, avec plus de 40% des informations d’identification contenant au moins 10 caractères et contenant quatre types de caractères.
Cependant, les pirates ont également utilisé des mots de passe très faibles comme une chaîne de chiffres consécutifs. Cela pourrait s’expliquer par leur manque d’intérêt à s’impliquer dans la communauté.
Ils pourraient utiliser le compte simplement pour suivre les discussions, vérifier quelles données étaient à vendre ou simplement pour avoir accès au forum chaque fois que quelque chose de plus important se produisait.
Les chercheurs ont également découvert que les informations d’identification pour les forums sur la cybercriminalité étaient généralement plus solides que les connexions pour les sites Web gouvernementaux, bien que la différence ne soit pas grande.
Selon Hudson Rock, la plupart des infections provenaient de seulement trois voleurs d’informations, qui sont également des choix populaires auprès de nombreux pirates : RedLine, Raccoon et Azorult.
À l’heure actuelle, un grand nombre de compromis d’accès initiaux commencent par un voleur d’informations, qui collecte toutes les données dont un acteur malveillant a besoin pour se faire passer pour un utilisateur légitime, généralement appelé empreinte système.