Les chercheurs de Trend Micro ont comparé 16 variants de programmes malveillants de vols d’informations (infostealers) les plus actifs ces dernières années en termes de capacités de vol et de type de données ciblées afin de mieux comprendre le risque associé à un éventuel vol de données. Leurs observations ont été menées sur deux places de marché du dark web (Russian Market et 2easy.shop) et leurs ont permis d’élaborer une matrice de risque unique.
Comme indiqué dans le rapport, ce dernier entend mesurer le "risque" encouru par les données volées une fois qu’elles se retrouvent entre les mains d’un cybercriminel ou d’un fraudeur[1]. Parmi les informations les plus à risque, les portefeuilles de crypto-monnaies et les identifiants d’authentification Internet arrivent en tête, car ils font partie des données les plus monnayables et les plus faciles à trouver sur des sites clandestins.
D’autres types de données, comme les identifiants Wi-Fi et les captures d’écran, ne sont pas aussi faciles à vendre et ont donc été évaluées comme encourant un risque amoindri. Les identifiants plus complexes, comme ceux des logiciels FTP et VPN, se situent à la frontière entre les deux.
Google.com a comptabilisé le plus grand volume d’identifiants de sites web volés vendus sur 2easy.shop, suivi par Live.com, Facebook et Instagram.

« Les cryptoactifs sont comme de l’argent liquide, les utilisateurs devraient les placer dans un coffre-fort numérique. Quant aux identifiants web, les acteurs de la menace peuvent en faire des choses inquiétantes, il faut donc utiliser un gestionnaire de mots de passe ou un outil similaire », conseille David Sancho, Senior Threat Researcher - Trend Micro. « Dans ce contexte, les utilisateurs finaux et les organisations doivent savoir quelles sont les données dont ils doivent le plus se préoccuper. Grâce à cette publication, ils sont en mesure de hiérarchiser leurs efforts défensifs en toute confiance. »

Le rapport révèle également une liste des pays les plus à risque en matière de vol d’informations. Un premier classement a été établi en analysant les logs volés et présents sur le dark web pour identifier l’emplacement des ordinateurs infectés. Il met en avant le volume de logs vendus dans un Top 3 de pays fortement peuplé : Inde (825 834 logs), Brésil (614 455) et Indonésie (473 459).

Chacune de ces compromissions a ensuite été pondéré en fonction du nombre d’utilisateurs d’Internet dans chaque pays. L’indicateur de référence est le nombre de journaux volés pour chaque million d’utilisateurs d’Internet dans le pays. De fait, l’ordre varie : Portugal (7 368), Brésil (3 717) et Grèce (3 284).

En raison de la valeur toujours grandissante des données volées, les voleurs d’informations constituent une menace de plus en plus fréquente. Les données peuvent être vendues à d’autres acteurs de la menace, utilisées pour la fraude d’identité et même pour se connecter à des réseaux d’entreprise. La tendance au travail hybride a d’ailleurs, selon le rapport, généré davantage d’attractivité auprès des acteurs de la menace.
Cependant, malgré la grande variété de voleurs d’informations, Trend Micro a constaté que seules quelques-uns sont très présents sur les marchés parallèles de données. Concrètement, cela signifie que les organisations devraient concentrer leurs efforts de défense uniquement sur les plus populaires d’entre eux sur le dark web (BlackGuard, Rhadamanhys, Vidar, Prynt, RedLine, etc.).