Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
[Nouvelle étude] Les logiciels malveillants les plus utilisés par les pirates pour voler les mots de passe de vos utilisateurs
L’équipe de recherche Specops publie aujourd’hui de nouvelles données sur les types de logiciels malveillants utilisés par les pirates pour dérober les mots de passe et les vendre sur le dark web. Cela coïncide avec l’ajout récent de plus de 48 millions de mots de passe compromis au service Specops Breached Password Protection.
La base de données de Specops sur les mots de passe compromis contient plus de 4 milliards de mots de passe uniques à la recherche desquels nous scannons en permanence les Active Directories de nos clients. Les données proviennent de listes de mots de passe compromis connus, de notre système de surveillance des attaques en temps réel qui étudie les attaques par force brute en direct, et d’une nouvelle source précieuse : KrakenLabs, unité de renseignement sur les menaces de la société-mère de Specops Software, Outpost24.
KrakenLabs est spécialisée dans le suivi des acteurs de la menace, la rétro-ingénierie des logiciels malveillants et l’analyse des menaces afin de générer des informations cruciales qui alimentent la solution Outpost24 Threat Intelligence. Afin de coïncider avec la mise à jour de notre base de données de mots de passe volés, KrakenLabs a analysé 359 millions de mots de passe volés au cours des six derniers mois pour mettre à jour les types de logiciels malveillants les plus couramment utilisés pour dérober des informations d’identification.
Darren James, chef de produit senior de Specops, déclare à propos des résultats : « Il est intéressant de noter qu’un logiciel malveillant en particulier était responsable du vol de près de la moitié des mots de passe analysés. Les données montrent que le logiciel malveillant Redline est actuellement le jouet préféré de la communauté des hackers pour le vol de mots de passe, avec 170 millions d’identifiants dérobés au cours des six derniers mois.
Cela montre également combien de mots de passe finissent par être mis en vente sur le dark web et met en évidence le danger de la réutilisation des mots de passe. Si vos utilisateurs finaux réutilisent leurs mots de passe professionnels sur des sites ou des appareils vulnérables aux logiciels malveillants, vous pourriez vous retrouver avec des mots de passe compromis dans votre Active Directory (et dans d’autres applications et plateformes telles que Entra iD et Okta si vous synchronisez vos mots de passe). Il est essentiel de disposer d’un moyen d’analyser en permanence votre Active Directory pour détecter les violations et les mots de passe compromis. »
Les dix outils de vols d’identifiants préférés des hackers
Les pirates ont le choix entre de nombreux outils sur le marché, mais certains sont responsables d’un plus grand nombre de vols que d’autres. Comme le montrent les données de KrakenLabs dans le tableau ci-dessous, le logiciel malveillant Redline est à l’origine de 170 millions de mots de passe volés lors des six derniers mois seulement. Cela signifie que Redline a été utilisé pour voler près de la moitié (47 %) de tous les mots de passe analysés. C’est plus que les trois outils de vol de données d’identification les plus populaires réunis : Vidar (17 %), Raccoon Stealer (11,7 %) et Meta (10,6 %).
| Logiciels malveillants | Nombre de mots de passe volés au cours des six derniers mois |
| REDLINE | 170,319,565 |
| VIDAR | 65,373,170 |
| RACCOON STEALER | 42,373,910 |
| META | 38,044,032 |
| CRYPTBOT | 16,190,911 |
| RISEPRO | 9,997,261 |
| STEALC | 7,298,512 |
| AZORULT | 6,830,045 |
| AURORA | 830,900 |
| DARKCRYSTAL | 626,243 |
1.REDLINE
Comme le montrent les données, RedLine est un voleur extrêmement populaire. Il a été découvert en mars 2020. Son objectif principal est d’exporter toutes sortes d’informations personnelles, comme des identifiants, des portefeuilles de crypto-monnaies et des données financières, puis de les télécharger vers l’infrastructure C2 du logiciel malveillant. Souvent, une charge utile RedLine est livrée avec un mineur de crypto-monnaie à déployer sur la machine de la victime, en particulier dans les campagnes où les joueurs équipés de puissants GPU sont la cible privilégiée.
RedLine est associé à une grande variété de méthodes de distribution, bien que les campagnes de hameçonnage soient les plus courantes. Les acteurs de la menace utilisent des événements mondiaux tels que la Covid-19 comme un leurre pour inciter les gens à cliquer et à télécharger le logiciel voleur. À partir de la mi-2021, YouTube a également été utilisé comme méthode de distribution pour RedLine, selon le processus suivant :
- Tout d’abord, l’acteur malveillant compromet un compte Google/YouTube
- Une fois le compte compromis, l’acteur de la menace crée différentes chaînes ou y publie directement des vidéos
- Dans la description des vidéos téléchargées (généralement celles qui font la promotion de tricheurs et de cracks de jeux, fournissant des instructions sur le piratage de jeux et de logiciels populaires), les acteurs de la menace incluront un lien malveillant lié au thème de la vidéo
- Les utilisateurs cliquent sur le lien et téléchargent involontairement RedLine sur leur appareil, ce qui entraîne le vol de leurs mots de passe et d’autres informations privées
2.Vidar
Vidar est une évolution du célèbre voleur Arkei. Il vérifie les préférences linguistiques de la machine infectée afin d’inscrire certains pays sur la liste blanche pour une infection ultérieure. Il génère ensuite un Mutex et initialise les chaînes nécessaires à son fonctionnement. Deux versions différentes de C2 sont disponibles pour les pirates. L’originale est associée à la version payante de Vidar, Vidar Pro. Il existe également une autre version C2 utilisée dans la version crackée de Vidar. Distribuée sur les forums clandestins, elle est appelée Anti-Vidar.
Au début de l’année 2022, Vidar a été repéré comme étant distribué dans des campagnes de hameçonnage sous la forme de fichiers Microsoft Compiled HTML Help (CHM). De plus, il a été détecté que le logiciel malveillant est distribué par le service malveillant PPI PrivateLoader, le Fallout Exploit Kit et le Colibri loader. À la fin de l’année 2023, il a été observé que le logiciel malveillant était diffusé par le chargeur de logiciels malveillants GHOSTPULSE.
3.Raccoon Stealer
Raccoon Stealer est un logiciel malveillant de vol d’informations mis en vente dans l’underground cybercriminel. L’équipe à l’origine de Raccoon Stealer utilise un modèle de « malware-as-a-service », permettant aux clients de louer le logiciel voleur sur une base mensuelle. Il a été mis en vente pour la première fois sur le forum de premier plan en langue russe Exploit le 8 avril 2019. La promotion de Raccoon Stealer se fait à l’aide du slogan : « Nous volons, vous négociez ! »
Il a au départ été mis en vente principalement sur des forums clandestins en langue russe comme Exploit et WWH-Club. Le 20 octobre 2019, l’acteur de la menace a également commencé à proposer Raccoon Stealer sur les tristement célèbres Hack Forums en anglais. Les acteurs de la menace qui commercialisent Raccoon Stealer sur les forums clandestins font parfois référence à des « semaines de test », ce qui peut indiquer que les pirates potentiels pourraient profiter d’une période d’essai du produit.
Où se retrouvent les informations d’identification volées ?
Certains acteurs de la menace utiliseront les informations d’identification volées pour mener eux-mêmes d’autres attaques, mais beaucoup essaieront de les vendre en masse pour en tirer un bénéfice financier sur le dark web. D’autres attaquants achèteront ces informations d’identification et tenteront de les utiliser pour obtenir un accès initial à votre réseau.
Le dark web est un sous-ensemble du deep web qui n’est pas accessible par les navigateurs web normaux. Pour y accéder, vous avez besoin d’un logiciel spécial comme le navigateur Tor, un service VPN (réseau Tor) et un routage oignon. Le dark web n’est pas uniquement utilisé pour la cybercriminalité, mais ses forums et marchés clandestins sont désormais célèbres pour les vols d’identité, les ransomwares en tant que service, le phishing en tant que service et la vente de données privées. En d’autres termes, ce n’est pas l’endroit où vous souhaitez que les informations d’identification de vos utilisateurs finaux soient échangées entre courtiers d’accès initial (Initial Access Brokers – IAB).
Les informations d’identification sont très prisées des cybercriminels, car elles constituent le moyen le plus simple de pénétrer dans une organisation – et c’est sur le dark web qu’elles sont le plus souvent mises en vente. Sans accès à la veille sur les menaces ou à des outils capables d’analyser les mots de passe compromis, il peut être difficile pour les entreprises de savoir si les informations d’identification de leurs utilisateurs finaux se retrouvent sur le dark web.
Différentes raisons peuvent expliquer la compromission des mots de passe, mais le risque le plus important pour votre environnement Active Directory est la réutilisation des mots de passe. Même si vous disposez d’une politique efficace en matière de mots de passe, des mots de passe forts peuvent toujours être compromis par la réutilisation de mots de passe professionnels sur des sites et des appareils non sécurisés. Ceux-ci peuvent être compromis et mis en vente en ligne à votre insu. Il n’existe pas de moyen infaillible pour mettre fin à un comportement humain comme la réutilisation des mots de passe. Il est donc très utile de disposer d’outils capables de scanner votre Active Directory en continu à la recherche de mots de passe connus pour avoir été compromis et qui pourraient être répertoriés sur une marketplace du dark web.
Comment Specops collabore avec KrakenLabs pour ajouter des informations d’identification piratées à sa liste de mots de passe compromis connus
La collaboration avec une équipe de renseignement sur les menaces permet à Specops de recueillir encore plus de données sur les mots de passe volés, en utilisant plusieurs techniques pour recueillir des informations sur les informations d’identification volées. Leurs recherches surveillent les acteurs de la menace spécialisés dans le vol d’informations d’identification, ce qui permet à ses analystes de la menace de découvrir, d’étudier et d’infiltrer une grande variété de groupes. Cela permet de mieux comprendre leurs méthodes de distribution des informations d’identification et, dans la plupart des cas, permet à KrakenLabs d’accéder aux informations brutes elles-mêmes.
En plus de la surveillance des acteurs de la menace, KrakenLabs a également la capacité d’extraire les informations d’identification des logiciels malveillants utilisés pour les voler. En employant différentes techniques allant du sinkholing traditionnel (interception des requêtes DNS tentant de se connecter à des domaines malveillants ou indésirables connus) à l’utilisation de sa propre technologie brevetée, l’équipe peut capturer des informations d’identification dérobées « en vol ». Cela signifie qu’ils peuvent capturer les informations d’identification au moment où elles sont communiquées au serveur de commande et de contrôle – utilisé pour distribuer ultérieurement les informations d’identification entre les différents clouds.
Qu’est-ce que cela signifie pour les mots de passe Active Directory ?
Cette étude met en évidence les efforts déployés par les acteurs de la menace pour voler et acheter des informations d’identification, ainsi que le succès de logiciels malveillants comme Redline pour faciliter ces opérations. Mais si votre environnement est à l’abri des logiciels malveillants, pourquoi cela vous concerne-t-il ? Le problème est la réutilisation des mots de passe. Si vos utilisateurs finaux réutilisent leurs mots de passe professionnels sur des appareils, des sites et des applications non sécurisés, votre organisation court un danger. Les pirates utilisent des logiciels malveillants pour voler des mots de passe sur des sites non sécurisés et peuvent ensuite facilement faire correspondre les informations utilisateur d’une victime avec son lieu de travail.
Une étude de Bitwarden révèle que 68 % des internautes gèrent des mots de passe pour plus de 10 sites web – et que 84 % d’entre eux admettent réutiliser des mots de passe. Dans une étude similaire, LastPass constate que 91 % des utilisateurs comprennent les risques liés à la réutilisation des mots de passe, mais que 61 % d’entre eux continuent à pratiquer. La réutilisation des mots de passe est un comportement très difficile à arrêter, c’est pourquoi l’aide d’une technologie capable de surveiller votre environnement en permanence pour se défendre contre cette menace est nécessaire.
Comment trouver des mots de passe compromis comme ceux-là dans votre réseau ?
La mise à jour d’aujourd’hui du service Breached Password Protection comprend l’ajout de plus de 16 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor. Vous pouvez découvrir combien de ces mots de passe compromis sont utilisés par vos utilisateurs finaux en scannant rapidement votre Active Directory à l’aide de notre outil d’audit gratuit : Specops Password Auditor.
Specops Password Auditor agit en lecture seule et ne stocke pas les données d’Active Directory. Il n’apporte pas non plus de modification à Active Directory. Vous obtiendrez un rapport exportable facile à comprendre détaillant les vulnérabilités liées aux mots de passe qui pourraient être utilisées comme points d’entrée par les attaquants. Téléchargez Specops Password Auditor gratuitement ici.
Protégez votre organisation contre les logiciels malveillants voleurs de mots de passe
En surveillant le dark web, nos analystes parviennent à obtenir des informations qui aident les organisations à garder une longueur d’avance sur les menaces. Par exemple, le fait de savoir si les données de votre organisation ont fait l’objet d’une fuite peut aider les équipes de sécurité à modifier les informations d’identification concernées et à sécuriser vos systèmes avant qu’une attaque ne se produise. Specops Breached Password Protection combine ces renseignements sur les menaces avec des listes de mots de passe compromis connus et les données de notre système de surveillance des attaques en temps réel afin de créer une base de données unique de plus de 4 milliards de mots de passe uniques compromis.
Specops Password Policy avec Breached Password Protection permet aux organisations de se protéger en permanence facer au nombre toujours croissant d’informations d’identification compromises. La mise à jour quotidienne de l’API Breached Password Protection, associée auxscans continus à la recherche de ces mots de passe dans votre réseau, bloque les mots de passe compromis dans Active Directory avec des messages personnalisables à l’intention des utilisateurs finaux.
Vous souhaitez découvrir comment Specops Password Policy pourrait s’adapter à votre organisation ? Vous avez des questions sur la manière dont vous pourriez adapter cette méthode à vos besoins ? Contactez nous ou découvrez comment elle fonctionne à l’aide d’une démo ou d’un essai gratuit.
(Dernière mise à jour le 12/03/2024)