Posté le novembre 29, 2020 à 12:20

DES CENTAINES DE DÉTAILS DE COMPTES DE MESSAGERIE ÉLECTRONIQUE DE CADRES DE NIVEAU C VENDUS SUR LE DARKNET

Un rapport récent révèle qu’un hacker a mis en vente l’accès à des centaines de comptes de courrier électronique de cadres de niveau C. Les données contenaient des détails sur les comptes de courrier électronique de dirigeants d’entreprises du monde entier.

Sachant cela, les données sont vendues sur Exploit.in, un forum illégal privé réservé aux hackers russes.

Le nom d’utilisateur et l’adresse électronique des comptes Microsoft ainsi que les comptes Office 365 des cadres supérieurs occupant différents postes de haut niveau dans leurs organisations sont vendus.

Les informations d’identification des cadres supérieurs exposés

Ces postes sont les suivants : directeur de la technologie, directeur du marketing, directeur financier, directeur de l’exploitation, directeur général, responsable des comptes fournisseurs, contrôleur financier, directeur financier, comptable, directeur financier, assistant exécutif, vice-président, ainsi que président.

Un expert en cybersécurité qui souhaite rester anonyme a contacté le vendeur pour obtenir des échantillons desdits détails de compte de messagerie. Il a collecté les détails valables de deux comptes et a confirmé l’authenticité des données. Les deux comptes valides obtenus proviennent du directeur financier d’une chaîne de magasins de détail basée dans l’UE et du directeur général d’une entreprise américaine de logiciels de taille moyenne.

La source qui a collecté l’échantillon de données souhaite informer les deux sociétés. Outre les échantillons de données recueillis par la source, il existe deux autres informations sur des comptes de messagerie électronique que le vendeur de comptes a publiées sur le darkweb pour prouver qu’il dispose de données de compte authentiques.

Les deux données partagées contiennent deux informations de connexion du président d’un fabricant de vêtements et d’accessoires basé aux États-Unis et des informations de courrier électronique d’une agence britannique de conseil en gestion d’entreprise.

Cependant, le hacker n’a pas fourni de détails sur la façon dont il a obtenu les données volées, mais a souligné qu’il a des centaines de ces données à vendre.

L’unité de cybersécurité et de renseignement KELA a fourni des données pour montrer que le même hacker a été impliqué dans d’autres transactions dans le passé. Selon l’entreprise, le même hacker avait conclu des plans pour acheter les « Azor logs », qui sont des ensembles de fichiers journaux collectés par le cheval de Troie voleur d’informations AzorUlt.

Ces journaux contiennent généralement des informations de connexion (nom d’utilisateur et mot de passe) qui ont été extraites des ordinateurs infiltrés par le cheval de Troie. Le chercheur de KELLA pense que l’acteur de la menace a pris le contrôle de ces détails de compte avec l’aide du cheval de Troie. Ils pensent également que le hacker ne travaillait pas seul.

Les données sont généralement recueillies par les opérateurs de l’infogérance, après avoir été filtrées et organisées. Après l’organisation des données, elles sont généralement mises en vente sur des forums de piratage ou vendues à d’autres cybercriminels dans un but lucratif.

Raveed Laeb, chef de produit de KELA, a souligné que l’activité illégale de vente de données volées est très rentable pour les cybercriminels, car elle peut être monétisée de différentes manières.

« Les données d’identification des entreprises compromises peuvent être précieuses pour les cybercriminels, car elles peuvent être monétisées de différentes manières », a-t-il déclaré.

Il a également ajouté que ces cyber-gangs ont intensifié leurs efforts pour effectuer de telles transactions en utilisant la cryptomonnaie comme moyen d’échange. Ils peuvent vendre en toute confiance les données volées sans être pris ou suivis à travers leurs comptes, contrairement à l’argent fictif classique.

Les données volées sont généralement achetées aux fins de fraude BEC

Ceux qui achètent les données peuvent les stocker pour une utilisation future dans le cadre d’une « fraude SEO », où les acteurs de la menace peuvent tromper les employés pour qu’ils leur envoient une grande quantité d’argent, alors que l’employé pense que l’argent est envoyé légitimement.

Outre ce type de fraude, les acteurs malveillants peuvent également explorer les justificatifs d’identité pour avoir accès à plusieurs autres systèmes internes qui nécessitent une authentification à double facteur basée sur le courrier électronique avant de procéder à une intrusion sur le réseau.

Mais la plupart des courriers électroniques compromis sont achetés et utilisés pour des fraudes SEO, qui sont également considérées comme des fraudes BEC. L’année dernière, le FBI a indiqué que les formes de cybercriminalité les plus courantes en 2019 étaient les fraudes BEC, car elles représentaient plus de 50 % de toutes les pertes dues à la cybercriminalité.

Le taux a même augmenté cette année, car les cybercriminels profitent du fait que de nombreux employés ont été contraints de travailler à domicile en raison de la pandémie COVID-19.