Les données des grandes entreprises françaises exposées sur le dark web par suite de cyberattaques

Selon une enquête du journal Actu portant sur 120 entreprises, les données stratégiques de 98% des plus grandes entreprises françaises se retrouvent sur le dark web.

156 groupes pirates étaient actifs au 1er janvier 2023.

Les grandes entreprises françaises sont confrontées à une situation alarmante, où la quasi-totalité de leurs données se retrouveraient désormais accessibles sur le dark web. Aleph, une société française spécialisée dans la recherche d’information [elle proposait un moteur de recherche pour RH], souligne que les prestataires et les tiers de confiance de ces entreprises sont souvent victimes de cyberattaques visant à voler des documents sensibles et confidentiels appartenant à ces grands groupes.

Le dark web regorge de factures, de notes d’avocats, de plans d’usines, de dossiers de comités d’entreprise et de données bancaires comme ZATAZ peut vous le démontrer très souvent. Tous ces fichiers, et bien d’autres encore, se trouvent sur de nombreux serveurs, dont ceux de LockBit, l’un des groupes de cybercriminels qui a été l’un des plus actifs au monde ces derniers mois. Le journal Actu.fr, via l’outil proposé par Aleph, a pu analyser le blog de LockBit. Il en ressort que les données sont volées dans 90% des cas aux prestataires de ces entreprises.

Les pirates ZIP/RAR pour gagner de la place !

Dans la plupart des cas, ces documents sont stockés dans des conteneurs (zip, rar, etc.) qu’il faut télécharger pour en connaître le contenu. Dans d’autres situations, des moteurs de recherche sont créés de toutes pièces par les criminels, comme l’a démontré ZATAZ. Il suffit de saisir les mots-clés pour voir apparaître des données sensibles. Il est important de rappeler que cette pratique est illégale, sauf si vous êtes mandatés pour le faire. Ci-dessous, capture écran du moteur de recherche de LockBit.

Pourquoi Actu s’est-il intéressé à LockBit 3.0 ? L’outil de l’entreprise française a été configuré pour se pencher sur les malveillances de ce groupe de cybercriminels. Une présentation avec LockBit avait d’ailleurs été faite, en juin, lors d’OSSIR.

Pour rappel, Lockbit est un groupe composé d’environ une centaine de pirates informatiques originaires de différents pays comme ZATAZ a pu vous le montrer, l’année dernière, dans une interview de l’instigateur caché derrière Lockbit.

Selon la société française, il existe environ quarante groupes rançongiciels actifs dans le monde. ZATAZ en suivait, au 1er janvier 2023 156. Parmi les 40 étudiés, 94% stockent leurs fichiers sur le dark web, tandis que les 6% restants les déposent sur Telegram. Certains choisissent également de stocker les fichiers volés sur le web, en utilisant des plateformes telles que Google Drive ou Mega, comme l’a remarqué ZATAZ avec les rançonneurs Nokoyawa, Somos ou encore Cryptnet (ainsi que 6 autres groupes suivis par ZATAZ).

Certains « jeunes » groupes pirates diffusent leurs données volées directement sur le web.

Les fichiers piratés par LockBit, par exemple, sont en libre accès sur le dark web, via leur blog, exposant ainsi les données des fleurons de l’industrie française. Le logiciel Aleph Search dark a identifié 371 339 résultats mentionnant les noms des sociétés du SBF 120 (indice boursier de la bourse de Paris), avec une moyenne de 3 094 résultats par nom de société. À noter que LockBit propose même un moteur de recherche permettant d’accéder aux dossiers des entreprises piratées.

Lockbit compte [selon les bugs et les arrestations] 24 serveurs de sauvegarde, 9 blogs, 9 chats et 2 outils dédiés à la communication sécurisée de messages et de fichiers (avec des fonctionnalités d’autodestruction, etc.)

De son côté, Bitdefender est revenu sur les informations trouvées dans le DarkNet. Les cartes de crédit clonées sont l’un des articles les plus couramment proposés sur les marchés noirs. Étonnamment, ces cartes peuvent être achetées pour seulement 7 à 14 % de leur valeur réelle. Par exemple, il est possible d’acquérir un numéro de carte de crédit volée avec un crédit allant de 1000 à 2000 dollars pour seulement 140 dollars. Cependant, les acheteurs doivent faire preuve de prudence, car les cartes de crédit volées sont souvent vendues à une fraction de ce que les criminels prétendent garantir sur le solde de la carte. Par exemple, une carte Visa Gold avec un code CVV peut être achetée pour 175 dollars, mais son solde prétendu d’au moins 25 000 dollars est souvent surestimé.

Des professionnels du ransomware diffusent les contenus volés, sur le web. – ZATAZ ne citera pas leur nom.

Outre les cartes de crédit, les marchés noirs proposent également des cartes SIM fonctionnelles dotées de numéros anonymes, permettant ainsi de dissimuler son identité. Les cybercriminels peuvent acheter ces cartes SIM pour seulement 300 euros, ce qui en fait un outil précieux pour ceux qui souhaitent opérer dans l’ombre.

Les informations d’identification des comptes de médias sociaux sont une autre marchandise prisée sur les marchés noirs. Par exemple, il est possible d’acheter 500 millions de comptes Facebook, généralement obtenus par le biais de violations de données, pour seulement 20 $. En outre, l’achat de followers est devenu monnaie courante sur les réseaux sociaux. Pour environ 250 dollars, il est possible d’obtenir 50 000 followers sur Instagram, permettant ainsi de gonfler artificiellement sa popularité.

Les criminels ne se limitent pas aux données volées et aux comptes de médias sociaux. Les passeports et autres pièces d’identité, qu’ils soient authentiques ou de faux excellents avec des puces, sont également proposés sur les marchés noirs. Par exemple, un passeport américain peut être acheté pour la somme de 1 680 euros, tandis qu’un passeport biométrique européen coûte environ 4 500 euros.

Enfin, les services d’abonnement tels que Netflix et HBO Max sont également proposés à des prix dérisoires sur les marchés noirs. Par exemple, il est possible d’obtenir trois ans d’abonnement à Netflix pour seulement 0,001 BTC, ce qui équivaut à environ 30 dollars au taux de change actuel.

Pour rappel, tout n’est pas illégal sur le DarkNet, mais c’est aussi un endroit que les malveillants ont su maitriser pour leur business !