Pleins feux sur les menaces : Stealer Logs et accès d'entreprise

Un fond bleu marine avec le texte blanc en majuscules « Stealer Logs & Corporate Access ».

Aperçu exécutif

Au cours des trois dernières années, les variantes de logiciels malveillants d'infostealer sont devenues une «tendance populaire» dans l'écosystème cybercriminel Malware-as-a-Service (MaaS). Faisant exactement ce que leur catégorie implique, ces variantes de logiciels malveillants volent des informations sur les appareils des utilisateurs. Après avoir infecté l'appareil, le logiciel malveillant utilise diverses techniques pour ne pas être détecté tout en envoyant des données à l'infrastructure de commande et de contrôle des acteurs malveillants. 

Pour comprendre la menace que représentent les logiciels malveillants d'infostealer, nous avons examiné plus de 19.6 millions de journaux de vol d'informations pour identifier des tendances telles que :

  • Nombre d'infections contenant des identifiants d'entreprise
  • Prix ​​moyen des infostealers avec accès bancaire
  • Principales applications grand public apparaissant dans les journaux 

Lire notre rapport complet, Stealer Logs et accès d'entreprise, ou continuez à lire pour les faits saillants. 

Les détails

L'analyse de plus de 19.6 millions de journaux de vol a montré des tendances qui indiquent que les acteurs malveillants apprécient l'accès aux ressources de l'entreprise et aux comptes de services financiers. Sur la base des résultats, des acteurs malveillants semblent utiliser des logiciels malveillants infostealer pour ne pas avoir à acheter un abonnement à une application grand public ou pour voler de l'argent en compromettant un compte bancaire. 

À un niveau élevé, la recherche a révélé ce qui suit à propos des journaux de vol :

  • 376,107 1.91 (XNUMX %) : accès aux applications SaaS d'entreprise
  • 48,173: accès à une ressource qui inclut une authentification unique représentant un accès presque certain aux ressources de l'entreprise
  • 200,000 (% 1): accès aux informations d'identification des principaux fournisseurs d'IA

(Remarque, ceux-ci proviennent de les utilisateurs des applications étant compromis par des logiciels malveillants infostealer. Nous n'avons aucune raison de croire que ces organisations elles-mêmes ont subi un incident de sécurité ou une violation) 

Pendant ce temps, en regardant les journaux d'infostealer à travers les yeux du consommateur, les données montrent :

  • $112: coût moyen des logs liés aux services financiers par rapport à $15 sur toutes les ventes de grumes

Nous avons collecté des données à partir de quatre sources principales :

  • Chaînes de journaux de télégrammes publics: "échantillons gratuits" de journaux d'accès aux applications principalement grand public utilisés pour annoncer les salles Telegram payantes
  • Chaînes privées de télégramme: chaînes payantes sur invitation uniquement avec des journaux de plus grande valeur
  • Marché russe: Place de marché du dark web spécialisée dans la vente d'accès
  • Marché de la Genèse: interface structurée d'analyse des données de log et de clonage disponible sur le réseau Tor

Dans le cadre de la recherche, nous nous sommes concentrés sur trois catégories clés de données de journal d'infostealer, chacune représentant une menace différente pour la sécurité des informations organisationnelles. 

Informatique d'entreprise et accès aux entreprises

Nous croyons que les acteurs malveillants spécifiquement valoriser ce sous-ensemble de journaux afin qu'ils puissent accéder aux environnements informatiques de l'entreprise. Nous avons identifié trois types d'informations d'identification qui représentent les ressources de l'entreprise :

  • Infrastructure informatique d'entreprise : L'accès à l'infrastructure informatique de l'entreprise, y compris les portails cloud, était représenté de manière disproportionnée dans notre ensemble de données. 
  • Contrat commercial & applications financières : L'accès à ces applications a été trouvé globalement dans 0.4% des logs de voleurs.
  • Applications CRM et données clients : Seuls 0.03 % des journaux contenaient des informations d'identification associées à des fournisseurs de CRM. 
Automate Your Threat Exposure Management

Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

Sur la base de l'ensemble de données limité, nous avons pu identifier quelques conclusions clés :

  • Si nous prenons en compte des dizaines de ressources d'entreprise communes, les 1.91 % de journaux de vol contenant les informations d'identification des utilisateurs SaaS d'entreprise porteraient probablement le nombre bien au-dessus de 2 %.
  • Étant donné que les journaux contenant l'accès aux entreprises étaient surreprésentés sur les canaux du marché russe et des télégrammes VIP, les attaquants prennent probablement des décisions spécifiques quant à l'opportunité de cibler ou non les entreprises. 
  • Les chaînes publiques de Telegram peuvent délibérément publier des journaux de faible valeur, en conservant les journaux de grande valeur pour les clients payants.
  • En corrélant cela avec des données Web sombres supplémentaires, les courtiers d'accès initiaux utilisent probablement des journaux de vol dans le cadre d'un programme plus vaste pour gagner de l'argent. 

Appareils infectés et services bancaires

Les appareils infectés et la recherche bancaire se sont concentrés sur la valeur financière des journaux de vol. Pour effectuer cette analyse, nous avons identifié une sélection aléatoire de 200 organisations de services financiers comptant plus de 5,000 88,000 employés. Nous avons ensuite comparé les domaines principaux de l'organisation à un échantillon de la base de données Flare d'appareils infectés répertoriés sur Genesis Market (XNUMX XNUMX listes d'appareils actuels) au cours des deux dernières années. Ensuite, nous avons comparé les prix des journaux contenant des données sur les services financiers à ceux qui n'en contenaient pas. 

Nous avons concentré nos recherches sur le marché Genesis pour deux raisons spécifiques :

  • Il base le modèle de tarification sur les ressources contenues dans les journaux de vol, fournissant un aperçu de la façon dont les acteurs malveillants apprécient différents types d'informations d'identification. 
  • Il illustre le modèle commercial MaaS avec des acteurs de la menace hautement spécialisés vendant des produits et des services à des acteurs de la menace peu sophistiqués afin qu'ils puissent facilement déployer des logiciels malveillants. 

Les données montrent que les acteurs de la menace accordent clairement une grande valeur aux domaines avec accès aux informations d'identification des services financiers : 

  • Sur le Genesis Market, les logs contenant des identifiants de services financiers étaient cotés à un prix moyen de 112.27 $, comparé à $14.31 pour ceux qui n'en ont pas.
  • Au cours du dernier deux années, 46 des 213 institutions financières de l'échantillon avaient des identifiants d'employés ou de clients à vendre. 

Applications grand public et journaux Stealer

Nous avons analysé les 50 domaines qui apparaissent le plus souvent dans les logs des voleurs. Alors que les résultats comprenaient un mélange d'applications de streaming, de musique, de jeux vidéo et de comptes de messagerie, les domaines Google, Gmail, Facebook et Microsoft apparaissaient le plus souvent dans les journaux de vol. De plus, presque toutes ces informations d'identification sont destinées à des applications grand public typiques malgré la possibilité que certains domaines puissent être d'entreprise ou personnels, comme accounts.google.com.

Considérations de recherche

Lors de la planification et de l'exécution de la recherche, nous avons pris des décisions importantes qui ont eu un impact sur les résultats :

  • Nous n'avons pas recherché de manière approfondie le croisement entre plusieurs domaines d'accès d'entreprise présents dans le même journal. Par exemple, nous n'avons pas vérifié les journaux qui avaient accès à la console AWS pour voir s'ils avaient également accès à un identifiant pour Okta. Nous avons effectué des tests de base et avons trouvé que le crossover était suffisamment bas pour que nous ne pensons pas qu'il ait un impact substantiel sur les résultats. 
  • Nous n'avons examiné que sept informations d'identification d'entreprise spécifiques qui pourraient être enregistrées dans un navigateur parmi des milliers, ce qui a considérablement limité nos données. 
  • Certaines informations d'identification, telles que celles de la console AWS, peuvent être utilisées par les étudiants ou pour des projets personnels. Nous pensons que la grande majorité indique probablement un accès d'entreprise, mais certains peuvent ne pas le faire. 

Comment Flare peut aider

La solution proactive de détection des cybermenaces externes de Flare utilise une technologie basée sur l'IA pour analyser en permanence le monde en ligne, y compris le Web clair et sombre et les canaux Telegram illicites. En surveillant des milliers de communautés cybercriminelles, notre plateforme fournit des données provenant de 14 millions de journaux de voleurs et de 2 millions de profils d'acteurs menaçants. 

Étant donné que notre plateforme collecte, analyse, structure et contextualise automatiquement les données du dark web, vous bénéficiez d'informations de grande valeur spécifiques à votre organisation pour des enquêtes sur le dark web 10 fois plus rapides et une réduction de 95 % des coûts de réponse aux incidents de fuite de données. 

Commencez votre essai gratuit aujourd'hui pour en savoir plus. 

Partagez cet article

Contenu similaire