Un énorme trésor de 361 millions d’adresses e-mail provenant d’informations d’identification volées par des logiciels malveillants voleurs de mots de passe, d’attaques de bourrage d’informations d’identification et de violations de données a été ajouté au service de notification de violation de données Have I Been Pwned, permettant à quiconque de vérifier si ses comptes ont été compromis.
Les chercheurs en cybersécurité ont collecté ces informations d’identification auprès de nombreux canaux de cybercriminalité Telegram, où les données volées sont généralement divulguées aux utilisateurs du canal pour renforcer leur réputation et leurs abonnés.
Les données volées sont généralement divulguées sous forme de combinaisons de nom d’utilisateur et de mot de passe (généralement volées via des attaques de bourrage d’informations d’identification ou des violations de données), de nom d’utilisateur et de mots de passe ainsi qu’une URL qui leur est associée (volés via des logiciels malveillants voleurs de mots de passe) et des cookies bruts (volés via des logiciels malveillants voleurs de mots de passe).
Les chercheurs, qui ont demandé à Breachtrace de rester anonyme, ont partagé 122 Go d’informations d’identification avec Troy Hunt, le propriétaire de Have I Been Pwned, collectées sur de nombreux canaux Telegram.
Selon Hunt, ces données sont massives, contenant 361 millions d’adresses électroniques uniques, dont 151 millions jamais vues auparavant par le service de notification des violations de données.
« Il contenait 1,7 k fichiers avec 2 lignes B et 361 millions d’adresses e-mail uniques, dont 151 Millions n’avaient jamais été vues auparavant dans HIBP », a publié Hunt.
« À côté de ces adresses se trouvaient des mots de passe et, dans de nombreux cas, le site Web auquel les données se rapportent. »
Avec un ensemble de données aussi volumineux, il est impossible de vérifier que toutes les informations d’identification divulguées sont légitimes.
Cependant, Hunt a déclaré qu’il avait utilisé les formulaires de réinitialisation de mot de passe des sites pour confirmer que de nombreuses adresses e-mail divulguées étaient correctement associées au site Web répertorié dans les informations d’identification volées. Hunt n’a pas pu confirmer le mot de passe, car cela l’obligerait à se connecter au compte, ce qui serait illégal.
Aucun site n’est affecté
Avec un ensemble de données aussi volumineux, aucun site autorisant les connexions n’est affecté par ces informations d’identification divulguées, y compris Breachtrace .
La semaine dernière, les mêmes chercheurs ont partagé avec Breachtrace une liste d’informations d’identification volées par des logiciels malveillants voleurs d’informations associés aux forums Breachtrace .
Le malware voleur d’informations est une infection qui vole les mots de passe, les cookies, l’historique du navigateur, les portefeuilles de crypto-monnaie et d’autres données d’un appareil infecté.
Ces données sont compilées dans une archive appelée « journal », puis renvoyées aux serveurs de l’auteur de la menace, où elles sont vendues sur des places de marché de la cybercriminalité, partagées avec d’autres acteurs de la menace ou utilisées pour pirater les autres comptes d’une victime.
Ce type de malware est couramment distribué via les réseaux sociaux, des logiciels piratés, de faux produits VPN ou simplement via des campagnes d’e-mails malveillants envoyées via des sites d’assistance de sociétés de jeux piratés.
Les données partagées avec BleepingCompute incluent le nom d’utilisateur, le mot de passe et l’URL qu’un membre a utilisés pour se connecter à nos forums, qui ont ensuite été enregistrés dans le gestionnaire de mots de passe de son navigateur.
Breachtrace analyse actuellement les données et supprime les doublons afin que nous puissions réinitialiser de manière proactive les mots de passe des membres concernés et les avertir qu’ils ont été infectés à un moment donné par des logiciels malveillants voleurs d’informations.
Les utilisateurs infectés par des logiciels malveillants voleurs d’informations devront désormais réinitialiser chaque mot de passe de chaque compte enregistré dans le gestionnaire de mots de passe de leur navigateur et de tout autre site utilisant les mêmes informations d’identification.
Malheureusement, les informations d’identification volées ne sont généralement pas partagées avec un horodatage pour indiquer quand elles sont volées. Par conséquent, les utilisateurs concernés doivent considérer que toutes leurs informations d’identification ont été compromises.
Bien que ce soit une tâche ardue, au moins ils sauront pourquoi leurs comptes et services ont montré un comportement étrange au fil des ans.
Breachtrace est couramment contacté par des personnes qui nous disent que leurs comptes sont continuellement piratés, même lorsqu’ils changent le mot de passe encore et encore. Ces personnes signalent constamment des comportements étranges sur leurs appareils ou réseaux, mais aucune infection par des logiciels malveillants n’est jamais détectée.
L’utilisateur peut maintenant obtenir une certaine fermeture, sachant qu’il n’était pas fou, mais que l’activité malveillante est probablement attribuée au vol de ses informations d’identification et aux acteurs de la menace qui en abusent pour leur propre amusement ou activité malveillante.
Les logiciels malveillants voleurs d’informations sont devenus un fléau de la cybersécurité, utilisés par les acteurs de la menace pour mener des attaques massives, telles que des attaques par ransomware et par vol de données.
Certaines attaques bien connues causées par le vol d’informations d’identification par des logiciels malveillants voleurs d’informations, notamment des attaques contre le gouvernement du Costa Rica, Microsoft, CircleCI et un compte chez Orange Spain RIPE, ont conduit à une mauvaise configuration intentionnelle de BGP.
Plus récemment, des acteurs de la menace ont volé des données des bases de données Snowflake en utilisant ce que l’on pense être des informations d’identification compromises volées à l’aide de logiciels malveillants voleurs d’informations.
Malheureusement, il n’y a pas de solution facile pour empêcher les attaques de vol d’informations, car elles sont peu complexes, ce qui les rend largement diffusées à travers une variété d’attaques.
La meilleure défense consiste à adopter de bonnes habitudes de cybersécurité, notamment à ne pas ouvrir les pièces jointes provenant de sources non fiables, à télécharger des logiciels uniquement à partir de sources fiables, à activer les extensions de fichiers dans Windows, à utiliser un logiciel antivirus et à maintenir votre logiciel à jour.