Préface
- Les marchés des appareils infectés continuent de croître sur le Web sombre et clair. Essentiellement, ces marchés vendent l'accès aux ordinateurs infectés et aux empreintes digitales du navigateur qui peuvent être utilisées par les acteurs de la menace pour compromettre les comptes en ligne.
- Même les cybercriminels peu sophistiqués peuvent acheter des empreintes digitales de navigateur pour seulement 10 $ et accéder à des centaines de connexions uniques stockées dans le navigateur, et la possibilité de contourner les contrôles 2FA de l'entreprise.
- La surveillance manuelle de ces listes est presque impossible, les approches traditionnelles de la surveillance du dark web sont souvent inefficaces pour trouver les IOC liés aux marchés d'appareils infectés
- Nous nous attendons à ce que les marchés des appareils infectés continuent de se développer et deviennent une raison de plus en plus importante pour effectuer une surveillance approfondie du dark & clear web.
Les détails
La surveillance des communautés illicites n'est pas un concept nouveau pour les équipes de sécurité de l'information. La plupart des organisations dotées d'un programme de sécurité de l'information mature surveillent déjà les marchés et les forums du dark web pour identifier l'exposition de tiers, les identifiants d'entreprise volés et les TTP d'acteurs malveillants. Cependant, la popularité croissante des marchés d'appareils infectés pose un tout nouveau défi et un ensemble d'opportunités pour les professionnels de la sécurité.
Lancé fin 2018, Genesis Market a montré un grand potentiel, car il s'agissait de la toute première place de marché axée sur les identités numériques. À la base, le marché Genesis (et plus tard le marché russe) vend l'accès aux empreintes digitales du navigateur des ordinateurs qui ont été infectés par des logiciels malveillants. Ce service permet à l'acheteur d'imiter l'empreinte digitale du navigateur de la victime, d'accéder à des dizaines, voire des centaines d'informations d'identification stockées dans le navigateur et, dans de nombreux cas, de contourner les contrôles 2FA.
La surveillance des marchés d'appareils infectés n'est pas toujours simple, car il existe très peu d'informations identifiables répertoriées pouvant être utilisées pour détecter automatiquement les comptes d'entreprise susceptibles d'être répertoriés. Une liste moyenne contient :
• Le pays où se trouve le bot
• Le nombre de ressources attachées au bot
• Le nombre de navigateurs à partir desquels des informations ont été volées (empreintes digitales)
• La date à laquelle le bot a été installé et la dernière mise à jour
• Une adresse IP partielle
• Le système d'exploitation du bot
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
• Une liste de toutes les ressources disponibles
Plus inquiétant encore, ces marchés ont banalisé et simplifié leurs offres pour permettre même aux pirates peu sophistiqués d'utiliser les empreintes digitales. Comme on peut le voir dans l'image ci-dessous, télécharger une empreinte digitale est aussi simple que faire des achats chez Walmart. Les places de marché fournissent même des guides et des tutoriels détaillés sur la façon d'utiliser les bots pour exécuter avec succès des attaques.
La plupart des listes, mais pas toutes, sont axées sur des personnes ayant accès à des comptes de services bancaires et financiers que les pirates peuvent exploiter. Cependant, une partie importante des listes, en particulier sur le marché russe, sont des appareils Windows 10 Enterprise, ce qui indique qu'un nombre important d'offres sont susceptibles d'être des ordinateurs d'entreprise pouvant contenir des connexions à des comptes et environnements d'entreprise internes de grande valeur.
Comment Flare peut vous aider
La surveillance des marchés d'appareils infectés n'a pas besoin d'être difficile ou manuelle. Le marché russe et le marché Genesis peuvent être surveillés efficacement en recherchant des appareils qui ont accès à des sous-domaines d'entreprise ou à d'autres sites auxquels seul un ordinateur d'entreprise de votre organisation aurait accès (étant donné qu'il y a plus de 400,000 XNUMX annonces sur un seul marché, l'automatisation est assez clé ici !). Cela peut vous permettre de détecter rapidement les IOC et de travailler pour affiner les périphériques spécifiques en fonction des plages IP partielles fournies dans la liste.
Flare fournit une approche unifiée pour :
- Identification des menaces externes sur le Web clair et sombre, y compris les appareils infectés, les informations d'identification divulguées, les fuites de données et d'autres menaces
- Menez des enquêtes détaillées sur les acteurs malveillants susceptibles d'avoir répertorié les IOC associés à votre organisation
- Comprendre l'exposition des données externes de votre organisation (empreinte numérique) avec des recommandations prioritaires pour la correction.
Découvrez comment Flare peut simplifier l'identification de la surveillance des appareils infectés avec un Essai gratuit.
Intéressé à en savoir plus? Vous pouvez consulter notre intégralité (non fermée) rapport sur l'écosystème Stealer Malware ici.