News
Quels sont les logiciels malveillants les plus utilisés par les hackers ?
mars 2024 par Specops Software
Dans une récente publication, l’équipe de recherche de Specops a dévoilé des données alarmantes sur les logiciels malveillants fréquemment utilisés par les cybercriminels pour voler les mots de passe et les commercialiser sur le dark web.
Cette annonce coïncide avec l’intégration de plus de 48 millions de mots de
passe compromis au service Specops Breached Password Protection, qui enrichit une base
de données déjà massive de plus de 4 milliards de mots de passe uniques.
Ces données interviennent alors que les entreprises du monde entier sont de plus en plus
préoccupées par la sécurité de leurs informations d’identification. L’étude menée par
KrakenLabs, l’unité de recherche sur les menaces de la société mère de Specops Software,
Outpost24, a analysé 359 millions de mots de passe volés au cours des six derniers mois
pour identifier les logiciels malveillants les plus actifs dans le domaine du vol d’identifiants.
Redline dans le top des logiciels malveillants
Le logiciel malveillant Redline se distingue dans le haut de la pile, responsable du vol de
près de la moitié des mots de passe étudiés, soit environ 170 millions d’identifiants. Cette
donnée souligne l’ampleur du marché des mots de passe sur le dark web et le risque accru
lié à la réutilisation des mots de passe par les utilisateurs finaux. C’est plus que les trois
outils de vol de données d’identification les plus populaires réunis : Vidar (17 %), Raccoon
Stealer (11,7 %) et Meta (10,6 %).
Noé Mantel, spécialiste produit chez Specops commente : "La cybersécurité ne se résume
pas à protéger les systèmes contre les attaques ; c’est aussi une question de prévoir et de
neutraliser les menaces avant qu’elles ne se transforment en crises. Dans ce monde
numérique, être proactif n’est pas une option, c’est une nécessité."
Zoom sur les différentes tactiques de ces logiciels
1. RedLine, détecté en mars 2020, est le logiciel malveillant de prédilection pour dérober
des informations personnelles, incluant des identifiants et des données financières. Il
télécharge souvent ces données vers son infrastructure C2 et peut inclure un mineur de
crypto-monnaie, ciblant spécialement les joueurs avec des GPU avancés. Les méthodes de
distribution varient, les campagnes de hameçonnage étant prédominantes, exploitant des
événements globaux et même des plateformes comme YouTube pour diffuser le malware.
Processus :
Tout d’abord, l’acteur malveillant compromet un compte Google/YouTube
● Une fois le compte compromis, l’acteur de la menace crée différentes chaînes ou y
publie directement des vidéos
● Dans la description des vidéos téléchargées (généralement celles qui font la
promotion de tricheurs et de cracks de jeux, fournissant des instructions sur le
piratage de jeux et de logiciels populaires), les acteurs de la menace incluront un lien
malveillant lié au thème de la vidéo
● Les utilisateurs cliquent sur le lien et téléchargent involontairement RedLine sur leur
appareil, ce qui entraîne le vol de leurs mots de passe et d’autres informations
privées
2. Vidar, dérivé du voleur Arkei, cible sélectivement les systèmes en fonction de la langue,
utilisant diverses méthodes de distribution, y compris le hameçonnage et divers chargeurs
de logiciels malveillants. Sa nature adaptable et ses versions multiples, dont une version
crackée connue sous le nom d’Anti-Vidar, le rendent particulièrement insidieux et difficile à
contrer.
3. Raccoon Stealer, vendu comme un "malware-as-a-service" sur des forums clandestins,
permet aux cybercriminels de louer cette solution pour voler des informations. Popularisé
avec le slogan "Nous volons, vous négociez !", il est accessible sur des plateformes en russe
et anglais, offrant même des périodes d’essai à ses utilisateurs potentiels.
Où se retrouvent les données d’identification volées ?
Les informations d’identification volées se retrouvent souvent sur le dark web, où elles sont
vendues ou utilisées pour de futures cyberattaques. Le dark web, accessible via des outils
spéciaux comme le navigateur Tor, est un carrefour pour diverses activités illégales, y
compris le commerce d’identifiants volés. Ces données sont précieuses pour les
cybercriminels car elles offrent un accès facile aux réseaux des organisations. Specops, en
collaboration avec KrakenLabs, utilise une surveillance avancée et des techniques
d’extraction pour identifier et contrer ces menaces, aidant ainsi les entreprises à protéger
leurs environnements Active Directory contre les risques associés à la réutilisation des mots
de passe.
L’étude souligne un problème crucial pour la sécurité des mots de passe Active Directory :
même si les environnements sont sécurisés contre les malwares, la réutilisation des mots de
passe par les utilisateurs les met en péril.
Les statistiques révèlent que 68% des internautes gèrent des mots de passe pour plus de
dix sites, et 84% réutilisent leurs mots de passe. Malgré une conscience élevée des risques,
avec 91% des utilisateurs conscients des dangers de la réutilisation des mots de passe, 61%
continuent cette pratique risquée. Ces comportements mettent en évidence le besoin vital
de technologies surveillant activement les environnements pour identifier et contrer les
menaces posées par la réutilisation des mots de passe.
La sécurité des informations d’identification est essentielle face aux cybermenaces en
évolution. Les organisations doivent adopter des mesures proactives pour protéger leurs
systèmes, en particulier les environnements Active Directory. Sensibiliser les utilisateurs à la
sécurité des mots de passe et implémenter des systèmes pour détecter et neutraliser les
identifiants compromis sont des étapes clés.
La surveillance du dark web et l’utilisation de technologies avancées pour anticiper les
violations de données contribuent significativement à la cybersécurité. En restant informés
et vigilants, les organisations peuvent mieux se défendre contre les cyberattaques et
protéger leurs actifs numériques.
