Pleins feux sur les menaces : principales sources illicites à surveiller en 2023

Un fond bleu marine avec le texte blanc "Top Illicit Sources to Monitor in 2023"

Aperçu exécutif

Les principales communautés illicites à surveiller cette année sont un mélange de forums Web sombres, de marchés/autoshops et de communautés illicites sur l'application de messagerie instantanée Telegram. La plupart d'entre eux existaient auparavant et gagnent plus récemment du terrain. 

Une stratégie complète de renseignement sur les cybermenaces comprend le suivi d'un large éventail de sources illicites pour mieux comprendre comment surveiller de manière appropriée les menaces externes à votre organisation. 

Au fur et à mesure que les acteurs de la menace se déplacent vers leur lieu de rassemblement, restez au courant des principales communautés illicites pour les surveiller de près.

1. Marché russe

Capture d'écran de la page des journaux des voleurs du marché russe, sur fond bleu marine foncé. Il existe plusieurs options de recherche en haut de l'écran d'accueil avec un certain nombre de listes en dessous de différents pays.
Capture d'écran de la page des journaux des voleurs du marché russe, qui affiche diverses listes de différents pays.

Russian Market est un magasin automatique en ligne sombre qui vend des journaux de vol, qui incluent des informations de navigateur Web stockées volées et certains détails de l'appareil. C'est l'un des principaux marchés d'appareils infectés à surveiller avec Genesis Market (inclus ci-dessous). Dans une étude achevée en juin 2022 sur la écosystème de logiciels malveillants voleurs, le marché russe a hébergé environ 2.7 millions de journaux disponibles à la vente avec environ 40,000 XNUMX nouveaux bots à vendre cette semaine-là.

Ces journaux de vol sont comme un coffre-fort d'informations sur les victimes. Puisqu'ils peuvent afficher les identifiants enregistrés et les PII, quelqu'un qui les regarde pourrait faire des suppositions sur la zone générale dans laquelle ils vivent (peut-être même l'adresse du domicile), leur travail, leurs anniversaires et les endroits qu'ils visitent souvent. Les fuites d'informations d'identification en elles-mêmes peuvent déjà être terrifiantes, en particulier lorsqu'un acteur malveillant est doué pour les tactiques d'ingénierie sociale. Cependant, avec les journaux de vol, les acteurs malveillants peuvent creuser beaucoup plus profondément dans la vie de quelqu'un ou dans une organisation. Le prix de toutes ces informations est étonnamment bas, à environ 10 $ par journal de vol.

2. Marché de la Genèse

Capture d'écran de la page d'accueil de Genesis Market, sur fond blanc. L'écran affiche les bots disponibles du monde entier, avec une barre de tableau de bord sur la gauche.
Capture d'écran de la page d'accueil de Genesis Market, qui affiche diverses listes du monde entier.

Genesis Market est similaire au marché russe. Cependant, il opère sur le Web clair et se spécialise dans la vente d'empreintes digitales de navigateur. Dans une analyse achevée en juin 2022 sur la écosystème de logiciels malveillants voleurs, Genesis Market avait environ 400,000 1,600 bots à vendre avec environ XNUMX XNUMX nouveaux bots à vendre cette semaine-là. 

Les bûches de voleur ont une gamme de coûts plus large que sur le marché russe, allant d'environ moins d'un dollar à un peu plus de 170 dollars. 

Lorsque des acteurs malveillants achètent un bot sur Genesis Market, ils peuvent également accéder à des guides détaillés sur la façon d'utiliser les empreintes digitales du bot achetées.

3. Télégramme

Capture d'écran de Telegram avec les conseils de télégramme sur le côté droit de l'écran montrant comment envoyer des messages avec le côté gauche de l'écran.
Il existe un nombre incalculable de canaux Telegram illicites que les acteurs de la menace utilisent pour vendre des informations d'identification divulguées et plus encore.

Les forums du dark web étaient autrefois la destination de choix pour les acteurs de la menace, mais ils se tournent davantage vers des plateformes de messagerie instantanée comme Telegram. Contrairement aux sources du dark web qui sont intensément surveillées par divers organismes chargés de l'application de la loi et des équipes de cybersécurité, ces plateformes sont plus attrayantes à utiliser car :

  • La plateforme est plus fiable qu'un forum qui change souvent de système d'hébergement
  • Des politiques de confidentialité strictes établissent un sentiment de sécurité (que ce sentiment soit exact ou non)
  • Certaines chaînes ont le paramètre «disparition des messages» qui peut supprimer les messages après un certain temps, comme dans 24 heures
  • Les interactions peuvent sembler «moins permanentes», comme avec le flux rapide de messages, même les messages existants peuvent sembler être emportés et disparaître, même s'ils existent encore techniquement

4. Journaux des voleurs

Capture d'écran avec le titre "Journaux gratuits" avec une couronne emoji en haut avec des descriptions sur la tarification des journaux. Le fond est bleu marine foncé et noir avec un texte et des boutons bleus et blancs plus clairs.
Annonce de journal Stealer qui inclut les méthodes de tarification et de paiement pour un abonnement.

Les journaux Stealer sont le résultat de logiciels malveillants voleurs infectant des appareils pour voler des informations stockées sur le navigateur Web de la victime. Avec les formulaires, les connexions, les cookies et les informations d'identification du navigateur de la victime, les pirates peuvent se faire passer pour leur victime pour accéder à leurs comptes, généralement à des fins financières.


Vous êtes curieux de connaître le cycle de vie d'une attaque de malware voleur ? Découvrez les détails dans notre nouveau rapport : Disséquer le cycle de vie des logiciels malveillants Dark Web Stealer avec le framework MITRE ATT&CK.

Automatisez la gestion de votre exposition aux cybermenaces

Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.

5. Exploiter.in

Capture d'écran du forum avec le titre "Exploit.in" en haut à gauche. Le reste de la page Web partage une description du site et du forum, divers projets et des sections sur les publications sur le piratage.
Cet extrait de la capture d'écran de la page d'accueil du forum Exploit.in montre une section "À propos" et différentes catégories pour les messages sur le piratage.

Exploit.in est un forum Web sombre doté d'un système d'enchères robuste. La langue dominante utilisée sur le forum est le russe. Certains contenus sont cachés derrière des murs participatifs auxquels les acteurs de la menace peuvent accéder davantage en établissant une plus grande réputation grâce au partage et à l'achat. 

Certains utilisateurs du forum sont des «courtiers d'accès initial» et vendent des informations sur les VPN ou les pouvoirs administratifs des organisations pour fournir un accès aux environnements de ces entreprises, via le système d'enchères du forum. D'autres acteurs malveillants peuvent enchérir soit dans des messages privés (pour garder leurs noms d'utilisateur privés), soit directement dans le fil de discussion. 

Les acteurs de la menace partagent également la preuve de concept pour les exploits, les échantillons de logiciels malveillants et diverses techniques de piratage sur ce forum.

6. Cracké.io

Capture d'écran du forum avec le titre "Cracked.io" en haut au milieu. Le reste de la page d'accueil contient des annonces et d'autres sections pour les interactions. Le fond est noir avec des barres bleues pour les différentes sections.
La page d'accueil de Cracked.io héberge des sections telles que "Annonces" et d'autres catégories d'engagement.

Cracked.io est un forum fortement axé sur le partage des fuites d'informations d'identification. Les acteurs de la menace vendent et partagent souvent des listes combinées à partir de violations qui sont initialement partagées ailleurs sur le dark web, ainsi que de bases de données divulguées et de diverses violations.

Le partage de contenu d'autres forums est courant, ce qui contribue à un grand nombre de messages sur ce forum.

7. XSS.est

Capture d'écran du forum avec le titre "XSS.is" en haut à gauche. Le reste de la page d'accueil comporte différentes sections intitulées "Underground". Le fond est blanc.
Cet extrait de la page d'accueil du forum XSS.is héberge différentes sections sous l'étiquette "Underground".

XSS.is est un forum dominé par la langue russe similaire à Exploit.in. Les utilisateurs du forum peuvent construire des points de réputation via le système du forum ou payer pour un compte VIP qui contourne ce système. Les acteurs malveillants qui publient fréquemment du contenu pertinent peuvent obtenir plus de likes sur leurs publications, ce qui leur donne un meilleur accès à divers fils de discussion. 

Il s'agit d'un forum assez technique avec des articles sur de nouveaux outils de piratage, des preuves de concept, des outils d'équipe rouge, etc. Beaucoup de fuites proviennent d'ici.

8. Forums piratés

Capture d'écran de la page d'accueil du forum, qui a principalement un fond noir. Il existe différentes sections sous l'onglet Général de la marine, notamment "Annonces", "Introductions", "Nouvelles du monde" et plus encore.
La page d'accueil du forum Breached héberge différentes sections sous l'étiquette "Général", y compris "Annonces", "Introductions", "Nouvelles du monde" et plus encore.

Pompompurin, un membre éminent de RaidForums, qui a été fermé par les forces de l'ordre en janvier 2022, a lancé Breached Forums quelques mois plus tard, en mars 2022. Ce forum a rapidement acquis une notoriété en tant que lieu central pour partager les fuites et les violations. Sur ce forum, les pirates peuvent vendre les résultats des systèmes exploités.

9. Marché dès que possible

Capture d'écran de la page d'accueil du forum ASAP Market, qui a principalement un fond noir. Il y a des images floues des listes en vedette au milieu avec une barre de menu à gauche des catégories d'articles à acheter.
La page d'accueil ASAP Market affiche les listes et les catégories d'articles en vedette que les utilisateurs du marché peuvent acheter.

ASAP Market est l'un des plus grands marchés du dark web. faciliter la vente de médicaments, d'articles liés à la fraude, etc. Il s'agit d'un marché international, mais les acheteurs peuvent vérifier d'où les articles sont expédiés afin d'acheter des articles locaux. De cette façon, les acheteurs peuvent éviter le contrôle douanier des colis qui arrivent de l'extérieur du pays.

10. Nous le Nord

Capture d'écran de la page d'accueil de We the North, qui a principalement un fond blanc. Il y a des images floues des listes en vedette au milieu avec une barre de menu à gauche des catégories d'articles à acheter comme la fraude, les drogues et les produits chimiques, les produits numériques, et plus encore.
Cet extrait de la page d'accueil We the North montre des images des listes et des catégories d'articles en vedette que les utilisateurs du marché peuvent acheter.

We The North est un marché canadien exclusif du dark web; ce qui signifie que les produits ne peuvent être expédiés qu'à destination et en provenance du Canada. We The North a gagné en popularité après la chute d'un ancien marché canadien exclusif, Canadian HQ. Tout comme son prédécesseur, We The North héberge un large éventail d'articles à vendre, avec une forte offre d'articles numériques, notamment liés à la fraude financière.

Comment Flare peut aider

Bien que ces principales sources illicites doivent être incluses dans l'approche de surveillance de votre organisation, elles ne sont pas les seules communautés à suivre. Assurez-vous de suivre toutes les sources pertinentes pour les menaces auxquelles votre organisation est confrontée ou est susceptible de faire face. 

Vous vous demandez à quoi pourrait ressembler la surveillance de sources illicites avec Flare ? Essayez notre essai gratuit Option ou demandez une démo pour obtenir des réponses à vos questions.

Partager cet article

Rubriques connexes