L’analyse de près de 20 millions de journaux de logiciels malveillants voleurs d’informations vendus sur le dark web et les chaînes Telegram a révélé qu’ils avaient réalisé une infiltration significative dans les environnements professionnels.
Les voleurs d’informations sont des logiciels malveillants qui volent des données stockées dans des applications telles que les navigateurs Web, les clients de messagerie, les messageries instantanées, les portefeuilles de crypto-monnaie, les clients FTP et les services de jeux. Les informations volées sont regroupées dans des archives appelées « journaux », qui sont ensuite téléchargées vers l’auteur de la menace pour être utilisées dans des attaques ou vendues sur les marchés de la cybercriminalité.
Les familles de voleurs d’informations les plus importantes sont Redline, Raccoon, Titan, Aurora et Vidar, proposées aux cybercriminels sur un modèle d’abonnement, leur permettant de mener des campagnes de logiciels malveillants qui volent les données des appareils infectés.
Alors que les voleurs d’informations ciblent principalement les internautes négligents qui téléchargent des logiciels, tels que des cracks, des warez, des tricheurs de jeux et de faux logiciels provenant de sources douteuses, il a également été constaté qu’ils ont un impact massif sur les environnements d’entreprise.
En effet, les employés utilisent des appareils personnels pour le travail ou accèdent à des données personnelles à partir d’ordinateurs de travail, ce qui entraîne de nombreuses infections de voleurs d’informations qui volent des informations d’identification professionnelles et des cookies d’authentification.
Plus précisément, comme l’explique la société de cybersécurité Flare dans un nouveau rapport partagé avec Breachtrace, il existe environ 375 000 journaux contenant l’accès à des applications métier telles que Salesforce, Hubspot, Quickbooks, AWS, GCP, Okta et DocuSign.
Plus précisément, Flare a trouvé ce qui suit dans les journaux de vol examinés :
- 179 000 identifiants de la console AWS
- 2 300 identifiants Google Cloud
- 64 500 identifiants DocuSign
- 15 500 identifiants QuickBooks
- 23 000 identifiants Salesforce
- 66 000 identifiants CRM
En plus de ce qui précède, il existe environ 48 000 journaux qui incluent l’accès à « okta.com », un service de gestion des identités de niveau entreprise utilisé par les organisations pour l’authentification des utilisateurs dans le cloud et sur site.
La plupart de ces journaux (74 %) ont été publiés sur les chaînes Telegram, tandis que 25 % ont été vus sur des marchés russophones, comme le « marché russe ».
« Les journaux contenant un accès d’entreprise étaient surreprésentés sur les canaux Russian Market et VIP Telegram, ce qui indique que les méthodes utilisées par les attaquants pour récolter les journaux peuvent, accidentellement ou intentionnellement, cibler davantage les entreprises », décrit le rapport Flare.
« De plus, les chaînes publiques de Telegram peuvent délibérément publier des journaux de valeur inférieure, en sauvegardant des journaux de grande valeur pour les clients payants. »
Flare a également trouvé plus de 200 000 journaux de vol contenant des informations d’identification OpenAI, soit le double de la quantité récemment signalée par Group-IB et constitue un risque de fuite d’informations exclusives, de stratégies commerciales internes, de code source, etc.
Les informations d’identification d’entreprise sont considérées comme des journaux de « niveau 1 », ce qui les rend particulièrement appréciées dans le milieu de la cybercriminalité, où elles sont vendues sur des canaux privés Telegram ou des forums comme Exploit et XSS.
Cette valeur découle des bénéfices potentiels que les cybercriminels peuvent réaliser en exploitant des informations d’identification compromises pour accéder aux applications CRM, RDP, VPN et SaaS, puis en utilisant cet accès pour déployer des portes dérobées furtives, des ransomwares et d’autres charges utiles.
« Sur la base des preuves du forum Web sombre Exploit in, nous estimons qu’il est très probable que les courtiers d’accès initiaux utilisent les journaux de vol comme source principale pour prendre pied dans les environnements d’entreprise qui peuvent ensuite être vendus aux enchères sur le Web sombre de premier plan. forums », explique Eric Clay, chercheur chez Flare.
Il est recommandé aux entreprises de minimiser le risque d’infection par des logiciels malveillants voleurs d’informations en imposant l’utilisation de gestionnaires de mots de passe, en appliquant une authentification multifacteur et en établissant des contrôles stricts sur l’utilisation des appareils personnels.
De plus, les employés doivent être formés pour identifier et éviter les canaux d’infection courants tels que les annonces Google malveillantes, les vidéos YouTube et les publications Facebook.