Quelque 120 000 ordinateurs infectés par des logiciels malveillants voleurs ont des informations d’identification associées à des forums de cybercriminalité, dont beaucoup appartiennent à des acteurs malveillants.
Les résultats proviennent de Hudson Rock, qui a analysé les données collectées à partir d’ordinateurs compromis entre 2018 et 2023.
« Les pirates du monde entier infectent les ordinateurs de manière opportuniste en promouvant les résultats de faux logiciels ou via des didacticiels YouTube incitant les victimes à télécharger des logiciels infectés », a déclaré Alon Gal, CTO de Hudson Rock, à The Hacker News.
« Ce n’est pas un cas où l’acteur menaçant infecte son propre ordinateur, c’est que sur les 14 500 000 ordinateurs que nous avons dans notre base de données sur la cybercriminalité, certains d’entre eux se trouvent être des pirates qui ont été accidentellement infectés. »
Les données récupérées à partir de machines compromises par des logiciels malveillants voleurs sont souvent volumineuses et étendues, ce qui permet de découvrir les identités réelles des pirates sur la base d’indicateurs tels que les informations d’identification, les adresses, les numéros de téléphone, les noms d’ordinateur et les adresses IP.
Les voleurs d’informations ont également alimenté l’écosystème des logiciels malveillants en tant que service (MaaS), les positionnant comme l’un des vecteurs d’attaque initiale les plus lucratifs utilisés par les acteurs de la menace pour infiltrer les organisations et exécuter une variété d’attaques, allant de l’espionnage au rançongiciel.
Un examen des informations volées révèle que le forum de cybercriminalité avec le plus grand nombre d’utilisateurs infectés est Nulled.to avec un excès de 57 000 utilisateurs, suivi de Cracked.io (19 062) et Hackforums.net (13 366).
« Le forum avec les mots de passe utilisateur les plus forts est » Breached.to « , tandis que celui avec les mots de passe utilisateur les plus faibles est le site russe » Rf-cheats.ru « », a déclaré la société, avec plus de 41% des informations d’identification comportant au moins 10 caractères et contenant quatre types de caractères.
« Dans l’ensemble, les mots de passe des forums de cybercriminalité sont plus forts que les mots de passe utilisés pour les sites Web gouvernementaux et présentent moins de mots de passe » très faibles « que des industries comme l’armée. »
Une grande majorité des infections ont été attribuées à RedLine, Raccoon et AZORult. Les principaux pays à partir desquels les pirates ont été infectés et avaient au moins un identifiant pour un forum sur la cybercriminalité sont la Tunisie, la Malaisie, la Belgique, les Pays-Bas et Israël.
« Les principaux enseignements de cette découverte sont que bien que les infections par des voleurs d’informations causent généralement des dommages aux entreprises car les pirates profitent des informations d’identification pour infiltrer les comptes des employés et des utilisateurs, elles peuvent également être utiles pour l’attribution aux cybercriminels par les forces de l’ordre », a déclaré Gal.
Le développement intervient alors que l’analyse de Flare de plus de 19,6 millions de journaux de vol a révélé que 376 107 d’entre eux donnent accès aux applications SaaS d’entreprise et que les journaux contenant des connexions aux services financiers étaient répertoriés à 112,27 $, contre 14,31 $ pour le reste.
Cela fait également suite à l’arrêt temporaire de Discord.io après avoir subi une violation de données dans laquelle les détails concernant pas moins de 760 000 utilisateurs ont été divulgués sur le nouveau forum de piratage Breach, qui a officiellement refait surface en juin 2023 sous la direction de ShinyHunters.
