Vue d’ensemble
- La société de portefeuille d'une société d'investissement nord-américaine avait un appareil infecté à vendre sur Genesis Market
- Flare a détecté un bot à vendre qui contenait des cookies pour un serveur de messagerie Web situé à l'intérieur du réseau interne de l'entreprise, entre autres informations d'identification bancaires et d'application de paiement
- Le prix de l'appareil infecté était de 100 USD, mais la détection et la notification des organisations concernées ont évité des milliers, voire des millions de dollars de dommages.
Les appareils infectés sont une cause de plus en plus fréquente de violations de données. Les acteurs de la menace installent les logiciels malveillants Redline/Raccoon par le biais d'e-mails de phishing ou de publicités malveillantes, puis vendent l'accès à « l'empreinte digitale » du navigateur sur les marchés du dark web avec la possibilité de contourner les contrôles MFA et d'accéder à toutes les connexions stockées dans le navigateur. Contrairement aux informations d'identification volées, l'identification des appareils infectés peut être difficile car il n'y a pas un seul e-mail qui leur est associé. Au lieu de cela, les clients de Flare utilisent des identifiants (termes de recherche) pour détecter automatiquement lorsqu'un bot est à vendre contenant des identifiants d'entreprise internes enregistrés dans le navigateur.
Cette success story explique comment la surveillance des botnets de Flare a découvert et alerté une société d'investissement nord-américaine au sujet d'un bot à vendre sur le Genesis Market. Ce bot contenait des cookies pour un serveur de messagerie Web situé à l'intérieur du réseau interne de l'entreprise. Bien que le prix de l'appareil infecté sur le Genesis Market n'était que de 100 $ US, il aurait pu causer des milliers, voire des millions de dollars de dommages s'il n'avait pas été arrêté à temps.
Avec une plateforme de surveillance de l'empreinte numérique telle que Flare, les organisations peuvent non seulement surveiller ces risques externes, mais également accélérer leur résolution et améliorer la rentabilité et l'efficacité de l'équipe de cybersécurité.
Le projet
Un seul cookie ou une seule connexion par e-mail peut entraîner une violation massive des données
Genesis Market est un marché en ligne qui vend des informations sensibles telles que les identifiants de connexion. Après son lancement en 2018, il a joué un rôle dans plusieurs grandes cyberattaques. Dans Juin 2021, des acteurs malveillants ont piraté l'éditeur de jeux vidéo Electronic Arts, avec un accès via un bot vendu sur le Genesis Market, entraînant la perte du code source.
Au départ, les pirates pénétraient dans l'espace de travail Slack de l'entreprise, un système de messagerie interne, via un biscuit (vendu 10 $) donnant accès sans authentification supplémentaire. À partir de là, ils ont manœuvré à travers les niveaux d'accès avec des techniques d'ingénierie sociale, jusqu'à ce qu'ils atteignent le code source.
Flare a commencé à surveiller ce marché en février 2020, car nous avons remarqué une augmentation du trafic et du nombre d'annonces à vendre. Genesis Market répertorie plus de 400,000 200 robots à vendre dans plus de 800 pays, avec XNUMX nouvelles annonces ajoutées par jour. Cette recherche et rapport de renseignement sur l'échange d'appareils infectés font partie de l'engagement de Flare à rester à la pointe des cybermenaces qui gagnent en popularité parmi les acteurs de la menace. Ces sources de données sont incluses dans notre surveillance continue.
Cet incident montre que même un accès de base comme Slack des employés ou le courrier électronique est plus que suffisant pour un accès élevé qui peut entraîner de graves conséquences comme des violations de données.
Comment Flare a aidé
Une grande société d'investissement en Amérique du Nord a empêché une intrusion réseau potentiellement catastrophique pour l'une des sociétés de son portefeuille.
La plate-forme Flare a détecté un bot à vendre sur Genesis Market, et il contenait des cookies pour un serveur de messagerie Web situé à l'intérieur du réseau interne de l'entreprise, entre autres informations d'identification bancaires et d'applications de paiement. Le Red Teamer avait un niveau élevé de confiance que l'ordinateur infecté appartenait à un employé en raison du sous-domaine spécifique dans la liste Genesis (webmail.companyname.com).
Le Red Teamer a obtenu l'accès aux informations d'identification à vendre après avoir reçu l'autorisation de la société de portefeuille. Ils ont ensuite enquêté sur la boîte aux lettres d'entreprise de l'employé, qui comprenait un grand nombre de pièces jointes, d'instances d'informations personnelles et d'autres documents qui pourraient facilement être exploités par un acteur malveillant.
La société d'investissement et sa société de portefeuille ont convenu que cet accès informatique infecté, vendu sur le Genesis Market pour environ 100 USD, aurait pu avoir un résultat bien pire. La plate-forme de Flare a empêché une violation coûteuse grâce à une détection proactive des cybermenaces.
Vous souhaitez récupérer de la bande passante pour votre équipe de sécurité ? Demander une démonstration pour savoir comment nous pouvons réduire le bruit grâce à nos données collectées combinées à notre hiérarchisation et notation à la pointe de l'industrie.
