Un voyage sur le site sombre – Sites de fuite analysés

Sites de fuite de données Des nouvelles

Fini le temps où les opérateurs de rançongiciels se contentaient de chiffrer les fichiers sur place et facturaient plus ou moins discrètement à leurs victimes de l’argent pour une clé de déchiffrement. Ce que nous trouvons couramment maintenant, c’est le cryptage avec la menace supplémentaire de fuite de données volées, généralement appelée Double-Extorsion (ou, comme nous aimons l’appeler : Cyber ​​Extortion ou Cy-X). Il s’agit d’une forme unique de cybercriminalité dans la mesure où nous pouvons observer et analyser certaines des actions criminelles via des sites de fuite de « victim shaming ».

Depuis janvier 2020, nous nous sommes appliqués à identifier un maximum de ces sites pour enregistrer et documenter les victimes qui y figurent. En ajoutant nos propres recherches, en analysant et en enrichissant les données extraites des différents opérateurs et sites de marché de Cy-X, nous pouvons fournir un aperçu direct de la victimologie de ce point de vue spécifique.

Nous devons être clairs sur le fait que ce que nous analysons est une perspective limitée sur le crime. Néanmoins, les données glanées à partir d’une analyse des menaces de fuite s’avèrent extrêmement instructives.

Nous désignerons la liste d’une organisation compromise sur un site de fuite Cy-X comme une « menace de fuite ». Les chiffres que vous verrez dans la plupart des tableaux ci-dessous font référence au nombre de ces menaces individuelles sur les sites d’oignon des groupes Cy-X que nous avons pu identifier et suivre au cours des deux dernières années.

Un boom des menaces de fuite

Malgré les aléas de l’environnement que nous observons, le nombre de fuites uniques sert d’indicateur fiable de l’ampleur de ce crime et de ses tendances générales dans le temps. Nous avons observé une multiplication par près de six des menaces de fuite entre le premier trimestre 2020 et le troisième trimestre 2021.

Sites de fuite de données
Source : Navigateur de sécurité Orange Cyberdefense 2022

Frapper là où se trouve l’argent : Menaces de fuite par pays

Jetons un coup d’œil aux pays dans lesquels les victimes opèrent.

Sites de fuite de données
Source : Navigateur de sécurité Orange Cyberdefense 2022

Dans le graphique ci-dessus, nous montrons le nombre de menaces de fuites 2020 et 2021 par pays, pour les 10 premiers pays figurant dans notre ensemble de données. Nous montrons également le produit intérieur brut (PIB) estimé pour les 12 pays les plus riches[1].

Les principaux pays victimes sont restés relativement constants dans notre ensemble de données. En règle générale, le classement d’un pays dans notre ensemble de données suit le PIB relatif de ce pays. Plus l’économie d’un pays est grande, plus il risque de faire de victimes. En effet, huit des dix pays les plus victimes du Cy-X figurent parmi les 10 premières économies au monde.

La conclusion que nous en tirons est que le nombre relatif de victimes dans un pays est simplement fonction du nombre d’entreprises en ligne dans ce pays. Cela ne prouve pas définitivement que les acteurs de Cy-X n’attaquent pas délibérément des cibles dans des pays ou des régions spécifiques de temps à autre. Cela ne veut pas non plus dire qu’une entreprise dans un pays à PIB élevé est plus susceptible d’être attaquée qu’une victime dans un pays à faible PIB (car, avec plus d’entreprises exposées dans ce pays, les probabilités s’égalisent).

À notre avis, le résultat de ces données est simplement que les entreprises de presque tous les pays sont compromises et extorquées. Logiquement, plus un pays compte d’entreprises, plus il y aura de victimes.

Exceptions à la règle

Cela dit, nous avons pris la liberté d’inclure l’Inde, le Japon, la Chine et la Russie dans le tableau ci-dessus, en tant que contre-exemples de pays à PIB élevé qui se classent au bas de notre liste des victimes de Cy-X.

L’Inde, avec un PIB prévu pour 2021 de 2,72 billions de dollars, et la Chine avec 13,4 billions de dollars, semblent sous-représentées, ce qui pourrait être dû à plusieurs raisons. L’Inde, par exemple, a une population énorme et un PIB conséquent, mais le PIB par habitant est plus faible et l’économie semble généralement moins modernisée et numérique, ce qui signifie moins d’entreprises en ligne à cibler. Il se pourrait que les criminels doutent que les entreprises indiennes puissent ou veuillent payer leurs rançons en dollars. La langue peut également jouer un rôle – les entreprises qui ne communiquent pas en anglais sont plus difficiles à localiser, à comprendre, à naviguer et à négocier, et leurs utilisateurs sont plus difficiles à exploiter à l’aide d’outils d’ingénierie sociale banalisés.

Le Japon, autre exception évidente à notre règle, a une économie hautement modernisée, mais présentera aux criminels les mêmes barrières linguistiques et culturelles que la Chine et l’Inde, ce qui explique peut-être la faible prévalence dans nos données sur les victimes.

La conclusion ici est que Cy-X passe des économies anglaises aux économies non anglaises, mais lentement pour le moment. C’est probablement le résultat logique de la demande croissante de victimes alimentée par de nouveaux acteurs, mais cela pourrait aussi être la conséquence d’un signal politique accru des États-Unis, qui peut rendre les acteurs plus prudents quant à qui eux et leurs affiliés exploitent.

Quelles qu’en soient les raisons, il faut encore une fois conclure qu’il y a des victimes dans presque tous les pays, et les pays qui semblaient jusqu’ici relativement épargnés ne peuvent espérer que cela restera le cas.

Taille unique : aucune preuve de « chasse au gros gibier »

Dans le graphique ci-dessous, nous montrons le nombre de victimes par taille d’entreprise dans notre ensemble de données mappé aux 5 principaux acteurs. Nous définissons les tailles d’organisation comme petites (1 000 employés ou moins), moyennes (1 000 à 10 000) et grandes (10 000+).

Sites de fuite de données
Source : Navigateur de sécurité Orange Cyberdefense 2022

Comme indiqué, les entreprises de moins de 1 000 employés sont le plus souvent compromises et menacées, près de 75 % de toutes les fuites provenant d’elles. Nous avons observé ce schéma de manière constante dans nos données sur les menaces de fuite au cours des deux dernières années, par secteur, pays et acteur.

L’explication la plus évidente de ce schéma est encore une fois que les criminels attaquent sans discernement, mais qu’il y a plus de petites entreprises dans le monde. Les petites entreprises sont également susceptibles de disposer de moins de compétences et de ressources techniques pour se défendre ou se remettre d’attaques.

Cela suggère à nouveau que toute entreprise peut s’attendre à être ciblée, et que le principal facteur décisif pour devenir victime d’un site de fuite est la capacité de l’entreprise à résister aux attaques et à se remettre d’un compromis.

Il convient également de noter que, puisque le crime sur lequel nous enquêtons ici est l’extorsion, et non le vol, c’est la valeur de l’actif numérique impacté pour la victime qui nous concerne, et non la valeur des données pour le criminel.

Toute entreprise qui possède des actifs numériques de valeur peut donc en être victime. Ni la petite taille ni la « non-pertinence » perçue des données n’offriront une protection significative ou ne « voleront sous le radar ».

Ceci n’est qu’un extrait de l’analyse. Plus de détails comme les acteurs de la menace identifiés ou les industries les plus ciblées (ainsi qu’une tonne d’autres sujets de recherche intéressants) peuvent être trouvés dans le Navigateur de sécurité. Il est disponible en téléchargement sur le site Orange Cyberdefense, alors jetez un œil. Ça en vaut la peine!

Noter – Cette article a été écrit et contribué par Carl Morris, mener Sécurité chercheur, et Charles van der Walt, diriger de Sécurité rechercher, de Orange Cyberdéfense.

David
Rate author
Hackarizona