Essai gratuit
Obtenez l'accès complet
Connexion

Pleins feux sur les menaces : Stealer Logs et accès d'entreprise

Picture of Flare
Flare
  • Reading time: 4 min
Un fond bleu marine avec le texte blanc en majuscules « Stealer Logs & Corporate Access ».

Aperçu exécutif

Au cours des trois dernières années, les variantes de logiciels malveillants d'infostealer sont devenues une «tendance populaire» dans l'écosystème cybercriminel Malware-as-a-Service (MaaS). Faisant exactement ce que leur catégorie implique, ces variantes de logiciels malveillants volent des informations sur les appareils des utilisateurs. Après avoir infecté l'appareil, le logiciel malveillant utilise diverses techniques pour ne pas être détecté tout en envoyant des données à l'infrastructure de commande et de contrôle des acteurs malveillants. 

Pour comprendre la menace que représentent les logiciels malveillants d'infostealer, nous avons examiné plus de 19.6 millions de journaux de vol d'informations pour identifier des tendances telles que :

  • Nombre d'infections contenant des identifiants d'entreprise
  • Prix ​​moyen des infostealers avec accès bancaire
  • Principales applications grand public apparaissant dans les journaux 

Lire notre rapport complet, Stealer Logs et accès d'entreprise, ou continuez à lire pour les faits saillants. 

Les détails

L'analyse de plus de 19.6 millions de journaux de vol a montré des tendances qui indiquent que les acteurs malveillants apprécient l'accès aux ressources de l'entreprise et aux comptes de services financiers. Sur la base des résultats, des acteurs malveillants semblent utiliser des logiciels malveillants infostealer pour ne pas avoir à acheter un abonnement à une application grand public ou pour voler de l'argent en compromettant un compte bancaire. 

À un niveau élevé, la recherche a révélé ce qui suit à propos des journaux de vol :

  • 376,107 1.91 (XNUMX %) : accès aux applications SaaS d'entreprise
  • 48,173: accès à une ressource qui inclut une authentification unique représentant un accès presque certain aux ressources de l'entreprise
  • 200,000 (% 1): accès aux informations d'identification des principaux fournisseurs d'IA

(Remarque, ceux-ci proviennent de les utilisateurs des applications étant compromis par des logiciels malveillants infostealer. Nous n'avons aucune raison de croire que ces organisations elles-mêmes ont subi un incident de sécurité ou une violation) 

Pendant ce temps, en regardant les journaux d'infostealer à travers les yeux du consommateur, les données montrent :

  • $112: coût moyen des logs liés aux services financiers par rapport à $15 sur toutes les ventes de grumes

Nous avons collecté des données à partir de quatre sources principales :

  • Chaînes de journaux de télégrammes publics: "échantillons gratuits" de journaux d'accès aux applications principalement grand public utilisés pour annoncer les salles Telegram payantes
  • Chaînes privées de télégramme: chaînes payantes sur invitation uniquement avec des journaux de plus grande valeur
  • Marché russe: Place de marché du dark web spécialisée dans la vente d'accès
  • Marché de la Genèse: interface structurée d'analyse des données de log et de clonage disponible sur le réseau Tor

Dans le cadre de la recherche, nous nous sommes concentrés sur trois catégories clés de données de journal d'infostealer, chacune représentant une menace différente pour la sécurité des informations organisationnelles. 

Informatique d'entreprise et accès aux entreprises

Nous croyons que les acteurs malveillants spécifiquement valoriser ce sous-ensemble de journaux afin qu'ils puissent accéder aux environnements informatiques de l'entreprise. Nous avons identifié trois types d'informations d'identification qui représentent les ressources de l'entreprise :

  • Infrastructure informatique d'entreprise : L'accès à l'infrastructure informatique de l'entreprise, y compris les portails cloud, était représenté de manière disproportionnée dans notre ensemble de données. 
  • Contrat commercial & applications financières : L'accès à ces applications a été trouvé globalement dans 0.4% des logs de voleurs.
  • Applications CRM et données clients : Seuls 0.03 % des journaux contenaient des informations d'identification associées à des fournisseurs de CRM. 

Sur la base de l'ensemble de données limité, nous avons pu identifier quelques conclusions clés :

  • Si nous prenons en compte des dizaines de ressources d'entreprise communes, les 1.91 % de journaux de vol contenant les informations d'identification des utilisateurs SaaS d'entreprise porteraient probablement le nombre bien au-dessus de 2 %.
  • Étant donné que les journaux contenant l'accès aux entreprises étaient surreprésentés sur les canaux du marché russe et des télégrammes VIP, les attaquants prennent probablement des décisions spécifiques quant à l'opportunité de cibler ou non les entreprises. 
  • Les chaînes publiques de Telegram peuvent délibérément publier des journaux de faible valeur, en conservant les journaux de grande valeur pour les clients payants.
  • En corrélant cela avec des données Web sombres supplémentaires, les courtiers d'accès initiaux utilisent probablement des journaux de vol dans le cadre d'un programme plus vaste pour gagner de l'argent. 

Appareils infectés et services bancaires

Les appareils infectés et la recherche bancaire se sont concentrés sur la valeur financière des journaux de vol. Pour effectuer cette analyse, nous avons identifié une sélection aléatoire de 200 organisations de services financiers comptant plus de 5,000 88,000 employés. Nous avons ensuite comparé les domaines principaux de l'organisation à un échantillon de la base de données Flare d'appareils infectés répertoriés sur Genesis Market (XNUMX XNUMX listes d'appareils actuels) au cours des deux dernières années. Ensuite, nous avons comparé les prix des journaux contenant des données sur les services financiers à ceux qui n'en contenaient pas. 

Nous avons concentré nos recherches sur le marché Genesis pour deux raisons spécifiques :

  • Il base le modèle de tarification sur les ressources contenues dans les journaux de vol, fournissant un aperçu de la façon dont les acteurs malveillants apprécient différents types d'informations d'identification. 
  • Il illustre le modèle commercial MaaS avec des acteurs de la menace hautement spécialisés vendant des produits et des services à des acteurs de la menace peu sophistiqués afin qu'ils puissent facilement déployer des logiciels malveillants. 

Les données montrent que les acteurs de la menace accordent clairement une grande valeur aux domaines avec accès aux informations d'identification des services financiers : 

  • Sur le Genesis Market, les logs contenant des identifiants de services financiers étaient cotés à un prix moyen de 112.27 $, comparé à $14.31 pour ceux qui n'en ont pas.
  • Au cours du dernier deux années, 46 des 213 institutions financières de l'échantillon avaient des identifiants d'employés ou de clients à vendre. 

Applications grand public et journaux Stealer

Nous avons analysé les 50 domaines qui apparaissent le plus souvent dans les logs des voleurs. Alors que les résultats comprenaient un mélange d'applications de streaming, de musique, de jeux vidéo et de comptes de messagerie, les domaines Google, Gmail, Facebook et Microsoft apparaissaient le plus souvent dans les journaux de vol. De plus, presque toutes ces informations d'identification sont destinées à des applications grand public typiques malgré la possibilité que certains domaines puissent être d'entreprise ou personnels, comme accounts.google.com.

Considérations de recherche

Lors de la planification et de l'exécution de la recherche, nous avons pris des décisions importantes qui ont eu un impact sur les résultats :

  • Nous n'avons pas recherché de manière approfondie le croisement entre plusieurs domaines d'accès d'entreprise présents dans le même journal. Par exemple, nous n'avons pas vérifié les journaux qui avaient accès à la console AWS pour voir s'ils avaient également accès à un identifiant pour Okta. Nous avons effectué des tests de base et avons trouvé que le crossover était suffisamment bas pour que nous ne pensons pas qu'il ait un impact substantiel sur les résultats. 
  • Nous n'avons examiné que sept informations d'identification d'entreprise spécifiques qui pourraient être enregistrées dans un navigateur parmi des milliers, ce qui a considérablement limité nos données. 
  • Certaines informations d'identification, telles que celles de la console AWS, peuvent être utilisées par les étudiants ou pour des projets personnels. Nous pensons que la grande majorité indique probablement un accès d'entreprise, mais certains peuvent ne pas le faire. 

Comment Flare peut aider

La solution proactive de détection des cybermenaces externes de Flare utilise une technologie basée sur l'IA pour analyser en permanence le monde en ligne, y compris le Web clair et sombre et les canaux Telegram illicites. En surveillant des milliers de communautés cybercriminelles, notre plateforme fournit des données provenant de 14 millions de journaux de voleurs et de 2 millions de profils d'acteurs menaçants. 

Étant donné que notre plateforme collecte, analyse, structure et contextualise automatiquement les données du dark web, vous bénéficiez d'informations de grande valeur spécifiques à votre organisation pour des enquêtes sur le dark web 10 fois plus rapides et une réduction de 95 % des coûts de réponse aux incidents de fuite de données. 

Commencez votre essai gratuit aujourd'hui pour en savoir plus. 

Partager cet article
Afficher les messages

Flare

Contenu similaire

Using CTI to Help Predict Vulnerability Exploitability

En savoir plus
, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion