Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Hackers Russes. Afficher tous les messages
Aucun message portant le libellé Hackers Russes. Afficher tous les messages

samedi 8 juin 2024

Microsoft assailli par un groupe de hackers soutenus par la Russie

 

Microsoft assailli par un groupe de hackers soutenus par la Russie

Par: Florian Innocente | 11/03/2024 à 14:15

Microsoft est l'objet d'une attention serrée de la part d'un groupe de cybercriminels soutenus par la Russie, qui sont parvenus à infiltrer certains de ses systèmes.


Le 19 janvier dernier, l'éditeur révélait avoir détecté une intrusion quelques jours plus tôt. L'attaque avait démarré en novembre sous la conduite d'un groupe connu, baptisé Midnight Blizzard (ou Nobelium), soutenu par le gouvernement russe.


Après avoir utilisé une technique de pulvérisation de mots de passe, les attaquants avaient pu mettre un pied dans la porte et s'introduire sur une machine qui leur avait donné accès à un « faible pourcentage » de comptes de messagerie de Microsoft. Faible mais ciblé, puisque parmi eux se trouvaient des boites de messagerie de membres de la direction du groupe et de certains salariés du département juridique ou encore de la cybersécurité, entre autres.


Des courriels et pièces jointes avaient été aspirés, avec un intérêt de la part de ces intrus pour les informations que Microsoft avait à leur égard. En fin de semaine dernière, lors d'un nouveau point sur cette attaque « de la part d'un état nation », Microsoft dit avoir constaté que le groupe de pirates avait utilisé les données subtilisées pour accéder ou essayer d'accéder à des dépôts de code source et d'autres systèmes internes.


À ce jour, rien n'indique que des logiciels et systèmes utilisés par les clients de Microsoft ont été compromis, précise l'éditeur. Midnight Blizzard tente en revanche de se servir d'informations confidentielles trouvées dans les courriers piratés et que Microsoft avait échangées avec des clients.


Surtout, le groupe d'attaquants a redoublé d'efforts et n'a pas relâché la pression, au contraire. Il semble chercher très activement à se faire une représentation précise des zones d'attaques possibles chez Microsoft et sur la manière de les conduire. Cette amplitude des attaques a été multipliée par 10 depuis le constat de janvier dernier, écrit Microsoft qui souligne la montée en puissance et en sophistication des attaques de groupes soutenus par des États.


REF.: https://www.macg.co/ailleurs/2024/03/microsoft-assailli-par-un-groupe-de-hackers-soutenus-par-la-russie-142613

mardi 23 mai 2023

Les cyberopérations et les services de renseignement russes: Centre 16

 

Les cyberopérations et les services de renseignement russes: Centre 16

La Russie est l'un des cyber-acteurs les plus prolifiques au monde et consacre des ressources importantes à la conduite de cyber-opérations dans le monde entier. Le gouvernement britannique a publiquement attribué une cyberactivité malveillante à des parties de trois services de renseignement russes : le FSB, le SVR et le GRU, chacun ayant ses propres attributions.

Un tableau des parties des services de renseignement russes que le gouvernement britannique a publiquement attribuées est ci-dessous.
Organigramme cyber SRI

 FSB: Centre 16, radio-electronic intell, 71330/Energetic Bear/Beserk Bear/Dragonfly/IRON LIBERTY/ALLANITE/CASTLE/Crounching Yeti/DYMALLOY/TG-4192. SVR: APT29/Cosy Bear/The Dukes. GRU: GRU 85th, 26165: APT28/Fancy Bear/Strontium; GRH GTsST, 74455, Sandworm


FSB : Centre 16, renseignement radioélectronique, 71330/Energetic Bear/Beserk Bear/Dragonfly/IRON LIBERTY/ALLANITE/CASTLE/Crounching Yeti/DYMALLOY/TG-4192. SVR : APT29/Cosy Bear/Les Ducs. GRU : GRU 85th, 26165 : APT28/Fancy Bear/Strontium ; GRH GTsST, 74455, ver des sables
Le programme cyber du FSB

Le FSB (Federal Security Service ; russe : (Федеральная служба безопасности (ФСБ)) est l'agence de sécurité de l'État russe et le successeur du KGB. Depuis sa création en (1995), le FSB a mené une surveillance électronique des équipements.
Centre FSB 16

Le FSB Center 16 (16-й Центр) est responsable des cyber-opérations, notamment l'interception, le décryptage et le traitement des messages électroniques, ainsi que la pénétration technique de cibles étrangères. Son titre complet est le Center for Radio-Electronic Intelligence by Means of Communication (TsRRSS ; russe : Центр радиоэлектронной разведки на средствах связи (ЦPPCC)) et est également connu sous le nom de « Military Unit 713 30" (V/Ch 71330) (Bойсковая часть B /Ч 71330).

Lorsque le KGB a été dissous en 1991, la 16e direction du KGB est devenue FAPSI ( russe : ՓАПϹИ ) ou Agence fédérale des communications et de l'information du gouvernement (FAGCI) ( russe : Փедеральное Агентство Правительственной Ϲвязи и Информации), une agence gouvernementale russe, qui était responsable du renseignement électromagnétique (SIGINT) et de la sécurité des communications gouvernementales.

En 2003, la FAPSI a été dissoute et le 3e département principal de la FAPSI (responsable du SIGINT) a été transféré au FSB, formant la base du FSB Center 16.

L'emblème du FSB Center 16 fait allusion à ses activités dans le cyberespace: une antenne parabolique (signifiant l'activité SIGINT) et une clé, brisée par la foudre, (signifiant la rupture d'une clé de cryptage) sont toutes deux présentes.
emblème du FSB Centre 16
Cyber-opérations menées par FSB Centre 16

Le FSB Center 16 a été observé en train de mener des cyberopérations depuis au moins 2010. Ils ont mené d'importantes campagnes contre le secteur de l'énergie en 2014 et le secteur de l'aviation en 2020.
Cyber-opérations contre des infrastructures nationales critiques dans le monde entier

Le Centre 16 du FSB a ciblé/obtenu des systèmes d'accès non autorisés dans des pays du monde entier qui sont nécessaires au fonctionnement d'un pays et dont dépend la vie quotidienne. Connu sous le nom d'infrastructure nationale critique ou CNI, le Centre 16 a ciblé des systèmes essentiels pour l'énergie, la santé, la finance, l'éducation et les gouvernements locaux/nationaux. Il s'agit d'une campagne concertée depuis de nombreuses années et dans un large éventail de pays à travers l'Europe, les Amériques et l'Asie.

Le NCSC et les sociétés de cybersécurité ont averti à plusieurs reprises les défenseurs des réseaux des risques posés par ce modèle d'activité. Bien qu'il y ait eu des spéculations sur l'implication du FSB, le gouvernement britannique confirme que cette activité a été menée par le FSB Centre 16 et fournit des détails supplémentaires sur des exemples spécifiques de cette activité pour accroître la sensibilisation et la transparence autour de la menace.


REF.: https://www.gov.uk/government/publications/russias-fsb-malign-cyber-activity-factsheet/russias-fsb-malign-activity-factsheet

L'histoire souterraine du groupe de hackers le plus ingénieux de Russie: Turla


L'histoire souterraine du groupe de hackers le plus ingénieux de Russie: Turla

Des vers USB, au piratage par satellite, les pirates russes du FSB connus sous le nom de Turla ont passé 25 ans à se distinguer comme "l'adversaire numéro un". ne peuvent s'empêcher d'admirer à contrecœur et d'étudier de manière obsessionnelle - et la plupart ne nommeront aucun des nombreux groupes de piratage travaillant au nom de la Chine ou de la Corée du Nord. Pas l'APT41 chinois, avec ses attaques effrontées sur la chaîne d'approvisionnement, ni les pirates informatiques nord-coréens Lazarus qui réalisent des braquages ​​massifs de crypto-monnaie. La plupart ne pointeront même pas vers le célèbre groupe de pirates russes Sandworm, malgré les cyberattaques sans précédent de l'unité militaire contre les réseaux électriques ou le code auto-réplicatif destructeur.

Au lieu de cela, les connaisseurs de l'intrusion informatique ont tendance à nommer une équipe de cyberespions beaucoup plus subtile qui, sous diverses formes, a pénétré silencieusement les réseaux à travers l'Occident depuis bien plus longtemps que tout autre : un groupe connu sous le nom de Turla.

La semaine dernière, le ministère américain de la Justice et le FBI ont annoncé qu'ils avaient démantelé une opération de Turla - également connue sous des noms tels que Venomous Bear et Waterbug - qui avait infecté des ordinateurs dans plus de 50 pays avec un logiciel malveillant connu sous le nom de Snake, que le Les agences américaines décrites comme le "premier outil d'espionnage" de l'agence de renseignement russe FSB. En infiltrant le réseau de machines piratées de Turla et en envoyant au logiciel malveillant une commande pour se supprimer, le gouvernement américain a infligé un sérieux revers aux campagnes mondiales d'espionnage de Turla.

Mais dans son annonce - et dans les documents judiciaires déposés pour mener à bien l'opération - le FBI et le DOJ sont allés plus loin et ont officiellement confirmé pour la première fois le reportage d'un groupe de journalistes allemands l'année dernière qui a révélé que Turla travaillait pour le Centre 16 du FSB. groupe à Riazan, en dehors de Moscou. Il a également fait allusion à l'incroyable longévité de Turla en tant qu'équipe de cyberespionnage de premier plan : un affidavit déposé par le FBI indique que le logiciel malveillant Turla's Snake est utilisé depuis près de 20 ans.

En fait, Turla fonctionne sans doute depuis au moins 25 ans, explique Thomas Rid, professeur d'études stratégiques et historien de la cybersécurité à l'Université Johns Hopkins. Il montre des preuves que c'est Turla - ou du moins une sorte de proto-Turla qui allait devenir le groupe que nous connaissons aujourd'hui - qui a mené la toute première opération de cyberespionnage par une agence de renseignement ciblant les États-Unis, une campagne de piratage pluriannuelle connue sous le nom de Labyrinthe au clair de lune.

Compte tenu de cette histoire, le groupe sera absolument de retour, dit Rid, même après la dernière perturbation de sa boîte à outils par le FBI. "Turla est vraiment l'APT par excellence", déclare Rid, en utilisant l'abréviation de "menace persistante avancée", un terme que l'industrie de la cybersécurité utilise pour désigner les groupes de piratage d'élite parrainés par l'État. "Son outillage est très sophistiqué, il est furtif et persistant. Un quart de siècle parle de lui-même. Vraiment, c'est l'adversaire numéro un.


Tout au long de son histoire, Turla a disparu à plusieurs reprises dans l'ombre pendant des années, pour réapparaître à l'intérieur de réseaux bien protégés, notamment ceux du Pentagone américain, des sous-traitants de la défense et des agences gouvernementales européennes. Mais plus encore que sa longévité, c'est l'ingéniosité technique en constante évolution de Turla - des vers USB au piratage par satellite, en passant par le détournement de l'infrastructure d'autres pirates - qui l'a distingué au cours de ces 25 années, déclare Juan Andres Guerrero-Saade, qui dirige le renseignement sur les menaces. recherche à la société de sécurité SentinelOne. "Vous regardez Turla, et il y a plusieurs phases où, oh mon dieu, ils ont fait cette chose incroyable, ils ont été les pionniers de cette autre chose, ils ont essayé une technique intelligente que personne n'avait faite auparavant et l'ont mise à l'échelle et mise en œuvre", dit Guerrero -Saadé. "Ils sont à la fois innovants et pragmatiques, et cela en fait un groupe APT très spécial à suivre."

Voici un bref historique des deux décennies et demie d'espionnage numérique d'élite de Turla, remontant au tout début de la course aux armements d'espionnage parrainée par l'État.
1996: Labyrinthe au clair de lune

Au moment où le Pentagone a commencé à enquêter sur une série d'intrusions dans les systèmes du gouvernement américain en tant qu'opération d'espionnage unique et tentaculaire, cela durait depuis au moins deux ans et siphonnait les secrets américains à grande échelle. En 1998, les enquêteurs fédéraux ont découvert qu'un mystérieux groupe de hackers rôdait dans les ordinateurs en réseau de la marine et de l'armée de l'air américaines, ainsi que ceux de la NASA, du département de l'énergie, de l'agence de protection de l'environnement, de la National Oceanic and Atmospheric Administration, d'une poignée de universités américaines, et bien d'autres. Une estimation comparerait le transport total des pirates à une pile de papiers trois fois la hauteur du Washington Monument.

Dès le début, les analystes du contre-espionnage ont cru que les pirates étaient d'origine russe, sur la base de leur surveillance en temps réel de la campagne de piratage et des types de documents qu'ils ciblaient, explique Bob Gourley, un ancien officier du renseignement du département américain de la Défense qui a travaillé sur l'enquête. . Gourley dit que c'est l'organisation et la persévérance apparente des hackers qui lui ont fait l'impression la plus durable. "Ils atteindraient un mur, puis quelqu'un avec des compétences et des modèles différents prendrait le relais et briserait ce mur", explique Gourley. "Ce n'était pas juste un couple d'enfants. Il s'agissait d'une organisation bien financée et parrainée par l'État. C'était vraiment la première fois qu'un État-nation faisait cela.

Les enquêteurs ont découvert que lorsque les pirates de Moonlight Maze - un nom de code qui leur a été donné par le FBI - exfiltraient des données des systèmes de leurs victimes, ils utilisaient une version personnalisée d'un outil appelé Loki2 et modifiaient continuellement ce morceau de code au fil des ans. En 2016, une équipe de chercheurs comprenant Rid et Guerrero-Saade citait cet outil et son évolution comme preuve que Moonlight Maze était en fait l'œuvre d'un ancêtre de Turla : version de Loki2 dans son ciblage des systèmes basés sur Linux deux décennies plus tard.
2008 : Agent.btz

Dix ans après Moonlight Maze, Turla a de nouveau choqué le ministère de la Défense. La NSA a découvert en 2008 qu'un logiciel malveillant était signalé à l'intérieur du réseau classifié du US Central Command du DOD. Ce réseau était « isolé », physiquement isolé de sorte qu'il n'avait aucune connexion aux réseaux connectés à Internet. Et pourtant, quelqu'un l'avait infecté avec un morceau de code malveillant auto-répandu, qui s'était déjà copié sur un nombre incalculable de machines. Rien de tel n'avait jamais été vu auparavant sur les systèmes américains.

La NSA en est venue à croire que le code, qui serait plus tard surnommé Agent.btz par les chercheurs de la société finlandaise de cybersécurité F-Secure, s'était propagé à partir de clés USB que quelqu'un avait branchées sur des PC sur le réseau isolé. On n'a jamais découvert exactement comment les clés USB infectées sont tombées entre les mains des employés du DOD et ont pénétré le sanctuaire numérique de l'armée américaine, bien que certains analystes aient émis l'hypothèse qu'elles auraient simplement été dispersées dans un parking et récupérées par des membres du personnel sans méfiance.


La violation Agent.btz des réseaux du Pentagone était suffisamment répandue pour déclencher une initiative pluriannuelle visant à réorganiser la cybersécurité militaire américaine, un projet appelé Buckshot Yankee. Cela a également conduit à la création de l'US Cyber Command, une organisation sœur de la NSA chargée de protéger les réseaux du DOD qui abrite aujourd'hui également les pirates informatiques les plus orientés vers la cyberguerre du pays.

Des années plus tard, en 2014, des chercheurs de la société russe de cybersécurité Kaspersky ont mis en évidence des liens techniques entre Agent.btz et le malware de Turla, connu sous le nom de Snake. Le malware d'espionnage - que Kaspersky appelait à l'époque Uroburos, ou simplement Turla - utilisait les mêmes noms de fichiers pour ses fichiers journaux et certaines des mêmes clés privées pour le chiffrement qu'Agent.btz, les premiers indices que le célèbre ver USB avait en fait été une création de Turla.
2015 : Commandement et contrôle des satellites

Au milieu des années 2010, Turla était déjà connue pour avoir piraté des réseaux informatiques dans des dizaines de pays à travers le monde, laissant souvent une version de son malware Snake sur les machines des victimes. Il a été révélé en 2014 qu'il utilisait des attaques « watering-hole », qui installent des logiciels malveillants sur des sites Web dans le but d'infecter leurs visiteurs. Mais en 2015, des chercheurs de Kaspersky ont découvert une technique Turla qui irait beaucoup plus loin dans la consolidation de la réputation de sophistication et de furtivité du groupe : détourner les communications par satellite pour essentiellement voler les données des victimes via l'espace.

En septembre de la même année, le chercheur de Kaspersky, Stefan Tanase, a révélé que le malware de Turla.com,communiqué avec ses serveurs de commande et de contrôle - les machines qui envoient des commandes aux ordinateurs infectés et reçoivent leurs données volées - via des connexions Internet par satellite piratées. Comme Tanase l'a décrit, les pirates de Turla usurperaient l'adresse IP d'un véritable abonné Internet par satellite sur un serveur de commande et de contrôle installé quelque part dans la même région que cet abonné. Ensuite, ils enverraient leurs données volées à partir d'ordinateurs piratés à cette adresse IP afin qu'elles soient envoyées par satellite à l'abonné, mais d'une manière qui les bloquerait par le pare-feu du destinataire.

Cependant, comme le satellite diffusait les données du ciel dans toute la région, une antenne connectée au serveur de commande et de contrôle de Turla serait également en mesure de les capter - et personne ne suivrait Turla n'aurait aucun moyen de savoir où dans la région où cet ordinateur peut se trouver. L'ensemble du système, brillamment difficile à tracer, coûte moins de 1 000 $ par an pour fonctionner, selon Tanase. Il l'a décrit dans un article de blog comme "exquis".
2019 : Se greffer sur l'Iran

De nombreux pirates utilisent des "faux drapeaux", déployant les outils ou les techniques d'un autre groupe de pirates pour détourner les enquêteurs de leur piste. En 2019, la NSA, la Cybersecurity and Infrastructure Security Agency (CISA) et le National Cybersecurity Center du Royaume-Uni ont averti que Turla était allé beaucoup plus loin : il avait silencieusement pris le contrôle de l'infrastructure d'un autre groupe de pirates pour réquisitionner l'ensemble de leur opération d'espionnage.

Dans un avis conjoint, les agences américaines et britanniques ont révélé qu'elles avaient non seulement vu Turla déployer des logiciels malveillants utilisés par un groupe iranien connu sous le nom d'APT34 (ou Oilrig) pour semer la confusion, mais que Turla avait également réussi à détourner le command-and- contrôle des Iraniens dans certains cas, obtenant la capacité d'intercepter les données que les pirates iraniens avaient volées et même d'envoyer leurs propres commandes aux ordinateurs des victimes que les Iraniens avaient piratés.

Ces astuces ont considérablement relevé la barre pour les analystes cherchant à épingler toute intrusion sur un groupe particulier de pirates, alors qu'en fait, Turla ou un groupe tout aussi sournois aurait pu secrètement tirer des ficelles de marionnettes de l'ombre. "Évitez d'éventuelles erreurs d'attribution en étant vigilant lors de l'examen d'activités qui semblent provenir de l'APT iranien", avait averti à l'époque l'avis de la CISA. "C'est peut-être le groupe Turla déguisé."
2022 : détournement d'un botnet

La société de cybersécurité Mandiant a rapporté plus tôt cette année qu'elle avait repéré Turla exécutant une variante différente de cette astuce de piratage de pirates, prenant cette fois le contrôle d'un botnet cybercriminel pour passer au crible ses victimes.

En septembre 2022, Mandiant a découvert qu'un utilisateur d'un réseau en Ukraine avait branché une clé USB sur sa machine et l'avait infectée avec le malware connu sous le nom d'Andromeda, un cheval de Troie bancaire vieux de dix ans. Mais lorsque Mandiant a regardé de plus près, ils ont découvert que ce logiciel malveillant avait ensuite téléchargé et installé deux outils que Mandiant avait précédemment liés à Turla. Les espions russes, a découvert Mandiant, avaient enregistré des domaines expirés que les administrateurs cybercriminels d'origine d'Andromeda avaient utilisés pour contrôler ses logiciels malveillants, acquérant la capacité de contrôler ces infections, puis ont recherché parmi des centaines d'entre eux ceux qui pourraient être intéressants pour l'espionnage.

Ce piratage intelligent avait toutes les caractéristiques de Turla : l'utilisation de clés USB pour infecter les victimes, comme il l'avait fait avec Agent.btz en 2008, mais maintenant combiné avec l'astuce consistant à détourner le logiciel malveillant USB d'un autre groupe de pirates informatiques pour s'emparer de leur contrôle, comme Turla en avait fini avec les hackers iraniens quelques années plus tôt. Mais les chercheurs de Kaspersky ont néanmoins averti que les deux outils trouvés sur le réseau ukrainien que Mandiant avait utilisés pour lier l'opération à Turla pourraient en fait être des signes d'un groupe différent qu'il appelle Tomiris - peut-être un signe que Turla partage des outils avec un autre groupe d'État russe, ou qu'il évolue maintenant en plusieurs équipes de hackers.
2023 : Décapité par Perséus

La semaine dernière, le FBI a annoncé qu'il avait riposté contre Turla. En exploitant une faiblesse du cryptage utilisé dans le malware Turla's Snake et des restes de code que le FBI avait étudiés à partir de machines infectées, le bureau a annoncé qu'il avait appris non seulement à identifier les ordinateurs infectés par Snake, mais aussi à envoyer une commande aux machines que le FBI le logiciel malveillant interpréterait comme une instruction de se supprimer. À l'aide d'un outil qu'il avait développé, appelé Perseus, il avait purgé snake des machines des victimes du monde entier. Parallèlement à CISA, le FBI a également publié un avis qui détaille comment Turla's Snake envoie des données via ses propres versions des protocoles HTTP et TCP pour masquer ses communications avec d'autres machines infectées par Snake et les serveurs de commande et de contrôle de Turla.

Cette perturbation annulera sans aucun doute des années de travail pour les pirates de Turla, qui utilisent Snake pour voler des données à des victimes du monde entier depuis 2003, avant même que le Pentagone ne découvre Agent.btz. La capacité du malware à envoyer secrètement des données bien dissimulées entre les victimes dans un réseau peer-to-peer en a fait un outil clé pour les opérations d'espionnage de Turla.


Mais personne ne devrait se leurrer que le démantèlement du réseau Snake, même si le logiciel malveillant pouvait être entièrement éradiqué, signifierait la fin de l'un des groupes de hackers les plus résistants de Russie. "C'est l'un des meilleurs acteurs, et il ne fait aucun doute dans mon esprit que le jeu du chat et de la souris continue", déclare Rid, de Johns Hopkins. « Plus que quiconque, ils ont une histoire d'évolution. Lorsque vous mettez en lumière leurs opérations, leurs tactiques et leurs techniques, ils évoluent, se réorganisent et essaient de redevenir plus furtifs. C'est le modèle historique qui a commencé dans les années 1990. "

"Pour eux, ces lacunes dans votre chronologie sont une caractéristique", ajoute Rid, soulignant les périodes parfois longues pendant lesquelles les techniques de piratage de Turla sont largement restées en dehors des reportages et des articles des chercheurs en sécurité.

Quant à Gourley, qui a chassé Turla il y a 25 ans en tant qu'officier du renseignement au milieu de Moonlight Maze, il applaudit l'opération du FBI. Mais il avertit également que tuer certaines infections par Snake est très différent de vaincre la plus ancienne équipe de cyberespionnage de Russie. "C'est un jeu infini. S'ils ne sont pas déjà de retour dans ces systèmes, ils le seront bientôt », déclare Gourley. "Ils ne s'en vont pas. Ce n'est pas la fin de l'histoire du cyberespionnage. Ils reviendront certainement, certainement.


REF.: https://www.wired.com/story/turla-history-russia-fsb-hackers/?bxid=618968355d33052e7414f73d&cndid=67206163&esrc=growl2-regGate-0321&mbid=mbid%3DCRMWIR012019%0A%0A&source=Email_0_EDT_WIR_NEWSLETTER_0_DAILY_ZZ

jeudi 4 novembre 2021

La Russie derrière 58% des piratages d’État depuis un an, selon Microsoft

 

 

La Russie derrière 58% des piratages d’État depuis un an, selon Microsoft

Dans une récente étude, l’entreprise américaine affirme que la majorité des piratages soutenus par l’État provient de Russie. Elle met également en avant la tendance des attaques informatiques, qui est à la hausse.

Microsoft a récemment publié une étude, Microsoft Digital Defense Report, sur les « dernières tendances en matière de cybersécurité ». Dévoilé à l’occasion des Assises de la Sécurité 2021, ce rapport (pdf) dévoile notamment le rôle important de la Russie dans la majorité des piratages.

Il est fondé sur l’analyse de 24 trillions « de signaux de sécurité analysés toutes les 24 heures » par les équipes du géant américain, de juillet 2020 à juin 2021.

Dans la même catégorie

Les principales tendances technologiques pour les prochaines années vues par Gartner

La Russie, grande championne du piratage

Il révèle notamment que, durant l’année qui vient de s’écouler, « 58 % de toutes les cyberattaques observées par Microsoft liées à des États-nations provenaient de Russie ». Le rapport pointe aussi le fait que ces piratages sont de plus en plus efficaces. Leur taux de réussite passe ainsi en un an de 21% à 32%. Une augmentation qui traduit également la croissance du nombre d’attaques.

Les secteurs d’activité les plus ciblés sont « le commerce de détail (13 %), les services financiers (12 %), l’industrie (12 %), les administrations (11 %) et les établissements de santé (9 %) ». En près d’un an et demi, la firme de Redmond a constaté une « augmentation de 220 % de l’utilisation de l’authentification forte », ce qui témoigne de la sensibilisation et des efforts des entreprises concernant la cybersécurité.

Les attaques ont plus précisément ciblé de nombreuses personnalités occidentales importantes, notamment des agences gouvernementales du Royaume-Uni ou de l’Ukraine, mais aussi des membres de l’OTAN. Sans oublier le piratage d’agences gouvernementales et de grandes entreprises américaines, comme le montre l’affaire SolarWinds.

Les piratages russes, ou tentatives de piratages, connaissent depuis un an une augmentation de 52%, selon le rapport. Cependant, il n’y a pas que la Russie et la Chine comme origine des attaques. Le pays en deuxième position sur ce sujet est la Corée du Nord, en augmentation de 12%. L’importance de ces attaques nord-coréennes, qui échoue dans 94% des cas en termes de phishing par mail, est toutefois moindre comparée aux attaques russes, qui connaissent un taux de réussite bien plus élevé.


Selon le rapport de Microsoft, le phishing est l’un des modes de piratage les plus répandus, et se déroule généralement en 5 étapes.

Les États-Unis, cible privilégiée selon Microsoft

D’après l’entreprise dirigée par Satya Nadella, les États-Unis sont, « de loin », le pays le plus touché par les rançongiciels. Il serait trois fois plus victime que la Chine, pourtant le second pays le plus touché, toujours selon le rapport.

Microsoft est aussi régulièrement la cible de piratage. Cette année, le piratage de son service Exchange a fait couler beaucoup d’encre. De nombreux pays et organisations, au premier rang desquels se trouvaient les États-Unis, l’Union Européenne, et l’OTAN, ont alors accusé la Chine. Bien que deuxième pays le plus touché par des piratages, la Chine est aussi l’un des pays à l’origine d’un grand nombre d’attaques. « Les acteurs soutenus par l'État chinois ont réussi à compromettre les victimes dans 44 % des cas », explique l’étude.

Le géant américain a travaillé en collaboration avec des agences gouvernementales américaines pour réaliser cette étude, qui ne mentionne rien sur d’éventuels piratages du gouvernement américain. Ceci pose naturellement des questions sur l'indépendance et l'objectivité de l’étude.

La multinationale affirme aussi que depuis SolarWinds, les pirates russes se concentrent essentiellement sur les organisations gouvernementales liées à la politique étrangère ou encore à la sécurité nationale. Des organisations développant des vaccins anti-Covid aux États-Unis, en Australie, au Canada, ou encore en Israël et au Japon, ont particulièrement été ciblées. Le piratage d’État a ainsi un taux de réussite de près de 20%.

Les attaques informatiques, une tendance à la hausse

Enfin, le groupe de piratage connu sous le nom de Cozy Bear, et soupçonné d’être lié au gouvernement russe, serait à l'origine de 92% de l’activité russe détectée par le géant américain. Un groupe probablement à l’origine de SolarWinds.

Pour Microsoft, cette efficacité croissante des pirates russes devrait amener à « davantage de compromis à fort impact dans l'année à venir ». Le nombre de victimes de rançongiciels ne cesse d’augmenter ces dernières années. Le plus souvent, les hackers réclament de l’argent, notamment en crypto-monnaies. Le rapport de Microsoft, qui pointe l’importance de ces attaques, intervient aussi dans un contexte de campagne présidentielle, toujours propice aux ingérences étrangères et aux piratages.

Alors que Joe Biden n’est élu que depuis quelques mois, c’est la France, juste après l’Allemagne, qui entre en campagne. Il faut donc s’attendre à voir le nombre d’attaques informatiques continuer d’augmenter en 2022.

 

REF.:

mercredi 20 octobre 2021

Le rançongiciel Conti: Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette,victimes de piratages

Le rançongiciel Conti: Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette,victimes de piratages

 

L’agence d’artistes Goodwin victime d’un rançongiciel

Camille Goodwin et ses deux filles, Marie-Claude et Nathalie Goodwin, associées de l’agence d’artistes Goodwin, victime d’une cyberattaque au rançongiciel Conti

Des cyberpirates ont attaqué les serveurs de la prestigieuse Agence Goodwin, qui représente des dizaines d’artistes et d’animateurs, dont Michel Tremblay, Paul Arcand, Anne Dorval, Denys Arcand, Chrystine Brouillet et Michel Charette.


Hugo Joncas, La Presse

Les pirates du groupe russophone Conti se spécialisent dans les attaques au rançongiciel. Ils volent habituellement les données ciblées avant de les endommager en les cryptant. La victime doit ensuite payer une somme d’argent si elle veut les récupérer et éviter qu’elles ne se retrouvent en ligne.

Goodwin assure avoir rétabli la situation, mais l’agence ignore à quelles informations les pirates ont pu accéder, et s’ils les ont bel et bien exfiltrées.

« On a reçu un message qui menaçait de sortir des données, explique Nathalie Goodwin, l’une des associées de l’agence. Ils sont allés chercher des informations sur nos serveurs. »

Une employée a noté que quelque chose n’allait pas le matin du 8 octobre en voulant consulter les horaires de comédiens sur le site. La page s’est affichée en chinois.

L’équipe a alors pris contact avec son consultant informatique, qui a réalisé que le mot de passe pour accéder aux serveurs avait été modifié. Il a compris que l’agence était victime d’une attaque informatique et a débranché les systèmes.

Cette action rapide a permis à Goodwin de limiter les dommages.

« Il restait cette menace qui planait sur un certain nombre de données d’entreprise qu’ils allaient publier si on ne les contactait pas, ce qu’on n’a pas encore fait », explique Nathalie Goodwin.

L’équipe de cybercriminalité de la police de Montréal a contacté l’agence pour s’assurer qu’elle était au courant de l’attaque, ce qui était bien le cas.

« Tous nos clients et nos employés ont été dûment avisés, comme il se doit, et informés des mesures à prendre personnellement », assure Nathalie Goodwin.

Selon les vérifications qu’a fait faire l’agence, les pirates seraient passés par le logiciel de courriels Outlook de Microsoft.

Données vraisemblablement volées

Les cybercriminels qui ont frappé Goodwin ont probablement déjà volé des informations sur le serveur ciblé, note Brett Callow, analyste des cybermenaces pour la firme d’antivirus Emsisoft.

« Comme plusieurs autres gangs, Conti vole les données de sa victime avant de déployer le rançongiciel qui crypte les fichiers, dit-il. Si elle ne paie pas, ou pas assez vite, Conti publie les données volées sur son site. »

Selon un rapport récent de la Cybersecurity & Infrastructure Security Agency (CISA) américaine, le gang est devenu ces derniers mois l’un des plus actifs dans le rançongiciel, avec « plus de 400 attaques » à son actif à la fin du mois de septembre.

C’est Conti qui a servi à mener la grave attaque ayant paralysé le système de santé irlandais en mai, comme l’explique cet article du quotidien Le Monde.

La CISA, tout comme un autre rapport de l’Agence française de la sécurité des systèmes d’information, classe Conti dans la catégorie « ransomware-as-a-service » : un rançongiciel en location. Le programme est ainsi offert pour d’autres gangs qui l’utilisent afin d’extorquer leurs propres cibles.

Au Québec, Conti a servi à attaquer les Hurons de Wendake et le distributeur d’équipements électriques Guillevin International en 2020, puis la MRC Antoine-Labelle, dans les Laurentides, en août.

Informations à vendre

Quatre jours après l’attaque de Goodwin, le 12 octobre, l’agence s’est retrouvée sur le site du « cartel », tel que Conti se désigne lui-même.

Juste en haut de la page, le gang lance un avertissement à ses « clients » (lire « victimes ») qui ne le contactent pas après une attaque. « Si vous êtes un client qui a décliné l’offre et que vous ne trouvez pas vos données sur le site du cartel ou que vous ne trouvez pas de fichiers sensibles, ça ne veut pas dire que nous vous avons oublié, ça veut seulement dire que les données ont été vendues et que nous les avons ensuite retirées de l’accès gratuit ! », indique son site en anglais.

Pour l’instant, dans la page consacrée à Goodwin, le gang n’affiche que des coordonnées professionnelles d’employés et les informations de base sur l’agence.

 

« Si vous êtes un client qui a décliné l’offre et que vous ne trouvez pas vos données sur le site du cartel ou que vous ne trouvez pas de fichiers sensibles, ça ne veut pas dire que nous vous avons oublié, ça veut seulement dire que les données ont été vendues et que nous les avons ensuite retirées de l’accès gratuit ! », indique le site en anglais.

Nathalie Goodwin dit qu’elle « ne voudrai[t] pas avoir à tomber dans le piège de payer une rançon ». « Je ne pense pas que ça soit une bonne chose de le faire. »

Les autorités américaines lui donnent raison et « déconseillent fortement » de céder. « Payer une rançon risque d’enhardir les pirates » et « ne garantit pas que les fichiers de la victime seront récupérés », souligne le rapport de la CISA.

Juste à côté du texte sur Goodwin, le site de Conti mentionne d’autres victimes récentes et offre gratuitement des données volées en téléchargement.

C’est le cas par exemple d’une des toutes dernières victimes du gang, JVCKenwood. Conti a commencé à publier des dizaines de fichiers volés à l’entreprise japonaise d’électronique en septembre. 

 

REF.:

mercredi 6 octobre 2021

Cybercrime : Les pirates recrutent des locuteurs anglophones d'urgence

 

 

Cybercrime : Les pirates recrutent des locuteurs anglophones d'urgence

Sécurité : Pour rendre leurs arnaques en ligne plus efficaces, des pirates russes recrutent d'urgence des locuteurs anglophones chargés de rendre les attaques plus crédibles auprès de leurs victimes.

Recrute locuteur anglophone d'urgence. Alors que les arnaques au président ou la compromission d'e-mails d'entreprises restent parmi les techniques les plus lucratives pour les cybercriminels, ceux-ci tentent aujourd'hui d'externaliser une partie de leur activité en faisant appel à des locuteurs anglophones afin de parfaire leur technique, parfois handicapée par leur faible niveau linguistique. Comme le rapporte une étude américaine réalisée par la société Intel 471, de nombreux forums sont aujourd'hui utilisés pour recruter des anglophones capables de gérer à la fois les aspects techniques et les éléments d'ingénierie sociale d'une cyberescroquerie, comme la compromission d'e-mails commerciaux.

En 2021, des pirates ont ainsi publié des annonces d'emploi sur un forum russophone populaire utilisé par de nombreux cybercriminels. Dans leur annonce d'emploi, ces derniers indiquent chercher des locuteurs parlant un excellent anglais pour gérer la présentation des courriels d'arnaques et éviter de déclencher l'alarme chez les victimes des attaques, mais également pour gérer la seconde phase de l'attaque, à savoir la négociation avec ces mêmes victimes. Rappelons en effet que pour qu'une escroquerie réussisse, l'employé cible doit croire que la communication provient d'une source légitime.

A ce niveau, les fautes d'orthographe ou les problèmes de grammaire ou de conjugaison peuvent constituer un handicap important et susciter une réaction de prudence chez les victimes des attaques. « Des acteurs comme ceux que nous avons vus recherchent des personnes de langue maternelle anglaise, car les marchés nord-américain et européen sont les principales cibles de ces escroqueries », expliquent les chercheurs d'Intel 471, qui se sont malheureusement uniquement penchés sur les pays anglo-saxons.

Externaliser l'ingénierie sociale

« A la manière de ce qui se passe sur d'autres formes de cybercriminalité, les auteurs d'escroqueries cherchent à établir des partenariats avec des personnes possédant les compétences nécessaires pour accéder aux réseaux organisationnels ou mettre en œuvre des techniques d'ingénierie sociale utilisées pour intercepter les virements électroniques », font savoir les équipes d'Intel 471. « L'utilisation d'un anglais correct est très importante pour ces acteurs, car ils veulent s'assurer que les messages qu'ils envoient à leurs victimes – principalement des employés de haut niveau d'une organisation – ne déclenchent pas de signaux d'alarme », ajoutent-ils.

Au-delà des seuls locuteurs anglophones, les pirates recrutent également des spécialistes du blanchiment d'argent pour "nettoyer" le produit des attaques par compromission d'e-mails commerciaux. Une annonce repérée par les équipes d'Intel 471 indique ainsi être à la recherche d'un tel spécialiste, capable de blanchir jusqu'à 250 000 dollars. « En tant que première ligne de défense, une formation adéquate des utilisateurs de messageries d'entreprise s'avère essentielle pour neutraliser les menaces qui pèsent sur les organisations », indiquent les chercheurs de la société.

Et de rappeler que « la compromission des e-mails professionnels a coûté aux entreprises américaines 1,8 milliard de dollars de pertes en 2020, ce qui représente 43 % de toutes les pertes liées à la cybercriminalité pour l'année ».

 

REF.:

mardi 7 septembre 2021

L'étrange cas de Konstantin Kozlovsky

 

 L'étrange cas de Konstantin Kozlovsky 

 - 29 mars 2021

 David J. Smith

 29 mars 2021

 Le 17 mars, un tribunal de la ville d'Ekaterinbourg, dans le district russe de l'Oural, a ordonné la réarrestation du pirate informatique Konstantin Kozlovsky, qui avait été libéré après avoir purgé plus de quatre ans de prison. 

En tant que leader du collectif de piratage Lurk, Kozlovsky a été accusé d'avoir volé des milliards de roubles à plusieurs banques russes (1 $ US = 75 roubles). Mais Lurk a vraiment attiré l'attention en tentant de voler 23 millions de roubles à Concord, une entreprise de restauration favorisée par le Kremlin dirigée par l'initié de Poutine Evgeny Prigozhin. C'est la chose la plus stupide qu'un Russe puisse faire, à moins qu'il n'y ait plus dans l'histoire. Il y a beaucoup plus. Le principal titre de gloire de Kozlovsky est que c'est lui qui a piraté les ordinateurs du Parti démocrate à l'approche de l'élection présidentielle américaine de 2016. 

Quelqu'un - probablement au Service fédéral de sécurité (FSB), ou peut-être même au Kremlin - ne veut pas que les doigts de Kozlovsky frappent librement un clavier. Il n'y a aucune preuve accessible au public de tout ce que dit Kozlovsky. Mais les autorités russes se sont un jour contentées de le faire entendre. Kozlovsky a été arrêté pour la première fois le 18 mai 2016 et détenu à la prison Matrosskaya Tishina de Moscou jusqu'au 27 octobre 2020.

 Depuis son perchoir carcéral, il a maintenu une page Facebook et a même accordé une interview, par un intermédiaire, à Dozhd Television. Ce n'est pas un traitement standard dans les établissements pénitentiaires russes, donc quelqu'un d'important voulait diffuser au moins une partie de ce que Kozlovsky avait à dire. Son affirmation la plus explosive était que tout ce qu'il faisait était pour le FSB, en particulier Dmitry Dokuchaev, chef adjoint du Centre de sécurité de l'information. Ancien hacker, également originaire d'Ekaterinbourg, Dokuchaev — nom de code Ilya — aurait recruté Kozlovsky en 2008. 

 En 2016, Kozlovsky a déclaré qu'il avait livré 850 Go de données volées du Parti démocrate à Dokuchaev. De plus, Kozlovsky a revendiqué la paternité d'un programme informatique appelé LDCS pour "remplacer les informations sur Twitter, Facebook, Google et les principaux médias américains". Il n'y a pas beaucoup de détails, mais cela ressemble à une variante du logiciel malveillant de piratage de navigateur. Il semble également curieusement proche d'un projet apparemment initié par le SVR (le service de renseignement étranger de la Russie) en 2013-2014 pour automatiser la propagande sur les plateformes de médias sociaux occidentales."La technologie décrite, LDCS, c'est un code assez typique appelé podmena ou substitut en argot russe, principalement utilisé pour modifier de vrais liens publicitaires pour la promotion illégale de quelqu'un d'autre ou pour des opérations de fraude bancaire illégales", explique Vrublevsky. "En réalité, cependant, cela ne peut probablement pas être fait, car si une fraude comme celle-ci se produit à grande échelle, le logiciel antivirus la bloque presque immédiatement."

 Le SVR et le FSB sont tous deux issus du KGB soviétique et certains pensent qu'ils exercent un contrôle conjoint sur Cozy Bear, également connu sous le nom de menace persistante avancée (APT)-29. Récemment lié à la brèche de Solar Winds, APT-29 est l'un des deux groupes associés au gouvernement russe impliqués dans les piratages du Parti démocrate. Sans surprise, Kozlovsky a affirmé qu'il était membre de Cozy Bear. L'histoire est cohérente en interne, et il est concevable qu'une personne occupant le poste de Dokuchaev au FSB ait des liens avec l'APT-29.

 Selon Kozlovsky, le FSB était également derrière la tentative de casse de Concord. Leur plan était de mettre en place le groupe Lurk pour pirater un proche de Poutine afin que le FSB puisse attraper les coupables, gagnant ainsi la gratitude du Kremlin pour le Centre de sécurité de l'information. Kozlovsky a même affirmé être l'auteur de WannaCry, un ransomware généralement attribué au groupe nord-coréen Lazarus ou APT-38. Lazarus est connu pour opérer depuis la Corée du Nord, mais aussi depuis la Chine et la Russie. Est-il possible qu'il ait reçu l'aide du FSB et que Kozlovsky ait joué un rôle, bien que plus modeste qu'il ne le prétendait ?

 Si Dokuchaev était le gestionnaire de Kozlovsky, c'était un homme occupé. En février 2017, il a été inculpé par un grand jury fédéral américain, alléguant qu'entre 2014 et 2016, lui et d'autres avaient dirigé un « complot de cyber-intrusion » contre Yahoo, volant des informations sur 500 millions de comptes. « Après quoi les auteurs présumés étaient-ils ?

 En partie, ils ont utilisé l'accès aux réseaux de Yahoo pour identifier et accéder à des comptes susceptibles d'intéresser le FSB… Cependant, les co-conspirateurs n'étaient pas au-dessus d'utiliser les informations qu'ils ont volées à des fins financières personnelles », écrit le FBI. Mais lorsqu'un mandat d'arrêt américain a été émis, Dokuchaev, son patron, Sergey Mikhailov, et Ruslan Stoyanov, un employé de Kaspersky, avaient déjà été arrêtés par le FSB pour trahison d'État. Le mot dans la rue virtuelle est qu'ils ont informé les renseignements américains sur les piratages des ordinateurs du Parti démocrate. Le trio a apparemment été pointé du doigt par le chef arrêté d'un groupe qui faisait chanter de hauts responsables du gouvernement, des oligarques bien connectés et des membres de la Douma d'État. Il y a certainement une mesure de vantardise dans les affirmations de Kozlovsky.

 Et il a sans aucun doute cherché à plaire aux procureurs et à la faction du FSB qui a arrêté Dokuchaev, Mikhailov et Stoyanov. Mais maintenant, quelqu'un de haut placé veut qu'il soit enfermé, et cela indique qu'il y a probablement une part de vérité dans ce qu'il dit – ou pourrait dire.

 Et cela en dit long sur la Russie contemporaine.

 Copyright © 2021, David J. Smith

 

REF.:

Positive Hack Days (PHDays) :

 

 Positive Hack Days (PHDays) est une conférence sur la sécurité informatique qui se tient chaque année à Moscou. La première conférence a eu lieu en 2011. La conférence aborde des sujets tels que les attaques zero-day et les enquêtes numériques, la cryptographie et la cyberguerre, la sécurité d'une personne et d'un État dans le cybermonde. Des frais de présence sont exigés. Des billets gratuits sont disponibles pour les gagnants de concours de piratage spéciaux et pour les étudiants qui ont participé au programme d'éducation positive. PHDays s'adresse à un large public, des hackers et experts techniques aux hommes d'affaires et politiciens. Les présentations sont données en russe et en anglais. 

 Caractéristiques:

 Des rapports techniques, des ateliers, des concours, des discussions sur la réglementation de l'industrie informatique et sur le développement commercial sont généralement organisés lors des PHDays. Cependant, la particularité de la conférence est de proposer des activités spéciales visant à créer une atmosphère ouverte et cyberpunk. La conférence se termine toujours par des représentations en direct de groupes de rock russes populaires.

 En 2014, des films cyberpunk ont ​​été diffusés pendant la nuit entre les deux jours de la conférence.

 

REF.:

Hackers russes, les nouveaux mercenaires d'une cyberguerre mondiale

 

 

Hackers russes, les nouveaux mercenaires d'une cyberguerre mondiale

REPLAY. Rencontres exclusives avec ces hackers russes qui font peur à l'Occident. Une investigation fouillée et concrète, qui dévoile la réalité derrière les fantasmes.
latribune.fr

09 Août 2019

 

 

Depuis l'élection de Donald Trump - qu'on les accuse d'avoir favorisée -, les hackers russes n'ont cessé de faire la une des médias occidentaux. Parce qu'ils n'ont pas de visage, que leurs modes d'action restent opaques et incompréhensibles pour le commun des mortels, et que les fake news venues de Russie servent sans ambiguïté les intérêts des droites extrêmes américaines et européennes, ils incarnent dans l'imaginaire collectif une effrayante armée de l'ombre au service d'une Russie agressive.

En parvenant à rencontrer, en France et en Russie, mais aussi en Ukraine, nombre de ces hackers free-lance, qui dévoilent sur écran un pan du monde caché dans lequel ils évoluent, cette enquête palpitante et ludique fait apparaître aussi concrètement que possible la réalité méconnue qui nourrit les fantasmes.

À quoi un hacker passe-t-il ses journées (et ses nuits) ? Combien cela rapporte-t-il ? Pourquoi la Russie possède-t-elle un riche vivier d'informaticiens virtuoses ? Quels liens entretiennent-ils avec le pouvoir et les services secrets ?

Se jouer des codes

En parallèle, Michael Hayden, ex-directeur de la CIA et de la NSA, Julian Assange, Yevhen Yakovenko, un responsable du SBU (le service de sécurité ukrainien) ou Igor Chtchegolev, conseiller du président Poutine croisé sur un salon moscovite du hacking, livrent leurs versions des cyberévénements récents. Les responsables d'une centrale nucléaire ukrainienne et de la chaîneTV5 Monde, eux, retracent les pannes spectaculaires provoquées en quelques minutes par des attaques informatiques. Différents spécialistes, journalistes et chercheurs, apportent leurs analyses.

Jouant des codes de l'investigation télévisée, Étienne Huver (prix Albert-Londres 2016 pour son enquête sur les victimes du régime syrien) et Marina Ladous, sa coauteure et productrice, se mettent en scène en Candide du cybermonde pour dévoiler les rouages d'une guerre invisible. S'ils montrent que la Russie y avance ses pions avec détermination, ils font entrevoir un paysage complexe, entre cybercriminalité, contre-espionnage et émulation geek.

Documentaire d'Etienne Huver (France, 2018, 1h28mn)

(source ARTE)

REF.:

vendredi 14 mai 2021

Qu'est-ce qui rend les hackers russes si bons?

 

 Qu'est-ce qui rend les hackers russes si bons? 

 Réponse initiale: Pourquoi les pirates informatiques russes sont-ils si bons?  

Les hackers russes sont bons pour la même raison que les hackers américains, chinois, israéliens, britanniques, australiens, néo-zélandais et canadiens: leurs pays peuvent se le permettre et ils le considèrent comme une priorité du renseignement et de la défense. Il existe un marché gris robuste pour les services de piratage. Si vous pouvez vous le permettre, c'est à vendre. Et les prix ne sont vraiment pas si élevés - 100 000 $ pour un travail de base, un peu plus pour un travail vraiment calme ou délicat. Les plus grands pays comme la Russie, la Chine et les États-Unis peuvent également se permettre d'embaucher et de former leurs propres hackers. Les pirates informatiques russes ont eu un profil plus élevé ces derniers temps en raison des élections américaines de 2016. La situation géopolitique de la Russie a également conduit à une utilisation plus visible des cyberattaques, comme contre l'Ukraine. Enfin, en raison de la nature de l'application de la loi en Russie, nous avons tendance à voir plus de cybercriminalité organisée à partir de là-bas que l'Amérique, la Chine ou l'Europe occidentale. 

 

REF.L: Quora.com

mercredi 25 mars 2020

Ces applications bien connues sont soupçonnées d’espionnage sur iOS



Ces applications bien connues sont soupçonnées d’espionnage sur iOS

Plusieurs applications collectent des données sensibles sans en avertir les utilisateurs, et il n’existe pour le moment aucune solution pour y remédier si ce n’est de les supprimer.
Par
Valentin
 
 








iOS, espionnage, Hackers Russes, Russie, TikTok,




S’il était jusqu’à aujourd’hui simplement supposé que certaines apps se servent de cette faille, c’est désormais confirmé. Et vous allez être surpris : il est très probable que l’un des logiciels installés sur votre appareil soit concerné. Car la liste des développeurs accusés est déjà très longue.

Des médias aux réseaux sociaux

Parmi ceux qui profiteraient notamment de cette brèche, qu’Apple a déjà annoncé ne pas souhaiter combler, on retrouve :
  • 8 Ball Pool
  • TikTok
  • Hotels.com
  • Fox News
  • The Wall Street Journal
  • ABC News
  • CBS News
  • CNBC
  • New York Timess
  • Reuters
  • Russia Today
  • The Economist
  • The Huffington Post
  • Vice News
  • Bejeweled
  • Fruit Ninja
  • Golfmasters
  • Plants vs. Zombies Heroes
  • PUBG Mobile
  • Viber
  • Weibo
  • Accuweather
  • Hotel Tonight
  • AliExpress
  • The Weather Network
La liste complète, que vous pouvez retrouver en source de cet article, est en réalité encore plus longue, et tous les services disponibles sur l’App Store n’ont pas été passés au crible. Elle pourrait donc se rallonger.
Même si vous êtes sûrement déjà nombreux à avoir désinstallé l’application chinoise de ByteDance à cause des risques qu’elle présente pour la confidentialité, retrouver le fournisseur de données météo officiel de Siri dans ce nouveau scandale risque de poser problème à Apple. La firme fait en effet de la protection de la vie privée son cheval de bataille.

REF.:

jeudi 31 octobre 2019

Les autorités tchèques démantèlent un réseau russe de cyberespionnage


Les autorités tchèques démantèlent un réseau russe de cyberespionnage

Sécurité : Des responsables tchèques ont déclaré que des agents russes avaient utilisé des entreprises locales pour lancer des attaques informatiques contre des cibles étrangères.

Hackers Russes, cyberespionnage, espionnage, espion,




Des responsables du gouvernement tchèque ont déclaré lundi avoir démantelé un réseau russe de cyberespionnage opérant dans le pays.
Le réseau a été démantelé à la fin de l'année dernière et avait été mis en place par des ressortissants russes de nationalité tchèque, fonctionnant avec l'aide du service de renseignement russe (FSB) et bénéficiant d'un financement de l'ambassade de Russie à Prague.
Des responsables tchèques ont déclaré que les espions russes avaient créé plusieurs sociétés de matériel et de logiciels et utilisaient leurs infrastructures pour lancer des attaques informatiques visant la République tchèque, mais également des alliés de l'UE et de l'OTAN.
Le média tchèque Respekt a été le premier à publier que les services de renseignement tchèques avaient démantelé le réseau d'espionnage lié au FSB en mars dernier, mais c'est la première fois que les autorités tchèques confirment officiellement que l'incident s'est produit.
La nouvelle a été confirmée hier lorsque Michal Koudelka, chef du service de renseignement de la République tchèque (BIS), a pris la parole devant la chambre basse du Parlement pour présenter un résumé des plus grandes menaces à la sécurité nationale auxquelles la République tchèque est actuellement confrontée, selon les médias locaux.
Le démantèlement du réseau d’espionnage lié au FSB était mentionné dans son discours, ainsi que la menace des pirates chinois et le danger toujours présent des cellules terroristes islamistes
. Une nouvelle conférence de presse du BIS est prévue jeudi 24 octobre afin de détailler les actions ayant eu lieu dans le courant de l’année passée.

La Russie nie les allégations

Dans une déclaration à l'agence de presse russe TASS, l'ambassade de Russie à Prague a rejeté les accusations du service de renseignement tchèque.
"Ce n'est pas vrai", a déclaré l'ambassade auprés de TASS. "L'ambassade n'a rien à voir avec un réseau d’espionnage." C’est la troisième fois depuis que le BIS accuse la Russie de mener des attaques informatiques contre des cibles tchèques.
Il l'avait déjà fait dans un rapport de 2017 [PDF] et dans un rapport de 2019 présenté à la chambre haute du Parlement au cours de l'été.
Outre le BIS, l’Agence nationale tchèque pour la sécurité de l’information et de la cybercriminalité (NUKIB) et le Centre national de lutte contre le crime organisé de la police de Cezch (NCOZ) ont également contribué à l’élimination du réseau d’espions russes l’année dernière.
Actuellement, BIS aide également l'éditeur de logiciels antivirus Avast à enquêter sur une brèche de sécurité de son réseau interne. Le BIS a déclaré dans un communiqué de presse publié hier sur son site que l'attaque avait été perpétrée par des pirates chinois.
Au fil des années, le BIS a été l’une des agences de renseignement les plus actives en Europe, notamment en ce qui concerne la répression des opérations d’espionnage informatique. Ainsi en 2018, le BIS a supprimé les serveurs utilisés par les agents du Hezbollah pour cibler et infecter les utilisateurs du monde entier avec des programmes malveillants mobiles.
REF.:  
Article Czech authorities dismantle alleged Russian cyber-espionage network traduit et adapté par ZDNet.fr 

vendredi 16 août 2019

FaceApp : comment supprimer votre compte et vos photos ?



FaceApp : comment supprimer votre compte et vos photos ?

Vous craignez la récupération de vos données personnelles via FaceApp ? Voici comment vous débarrasser de l’application définitivement.


FaceApp, applications, vol d'identité, vol de donné, Hackers Russes
 
 
FaceApp vous prévient lorsque vous lancez l’application pour la première fois : les images que vous souhaitez vieillir ou rajeunir passent par les serveurs de la société. Ladite société étant basée en Russie malgré l’adresse indiquée au Etats Unis sur les magasins d’applications. Si après coup, vous n’êtes plus en phase avec votre choix, voici comment procéder pour faire supprimer vos photos.
La société ne propose aucune option directe depuis FaceApp, ni depuis son site web. Pour désactiver votre compte et les photos associées, il faudra donc leur écrire depuis l’application. Une fois ouverte, sélectionnez les Options en haut à gauche puis Assistance.
ecrire service client faceapp desinscrire
Dans Assistance, sélectionnez Plainte puis expliquez votre demande.
plainte faceapp securite photos
Pour voir votre requête aboutir plus rapidement, nous vous suggérons de leur écrire directement en anglais. Ci-dessous un message-type pour leur demander de supprimer votre compte et les données associées.
Hello, for privacy purposes, I would like to have my account deleted as well as all data collected from my phone. Regards. 
Validez ensuite l’envoi du message, la société ne fournit aucune information sur le délai de traitement, il ne vous reste plus qu’à attendre.

REF.:

mardi 13 août 2019

Des pirates informatiques exposent les données d’un sous-traitant du FSB russe


Des pirates informatiques exposent les données d’un sous-traitant du FSB russe

Sécurité : SyTech, la société piratée, travaillait sur des projets de recherche pour le FSB, le service de renseignement russe. Parmi les projets exposés, on retrouve notamment un projet de desanonymisation des utilisateurs de Tor. 



Hackers Russes

Des pirates informatiques ont visé la société SyTech, un sous-traitant de FSB, le service de renseignement national russe, d'où ils ont volé des informations sur des projets internes sur lesquels la société travaillait pour le compte de l'agence. L’un des projets portait sur la désanonymisation du trafic de Tor.
L’attaque a eu lieu le week-end du 13 juillet, lorsqu'un groupe de pirates informatiques portant le nom de 0v1ru $ a piraté le serveur Active Directory de SyTech à partir duquel ils ont eu accès à l'ensemble du réseau informatique de l'entreprise, y compris une instance JIRA.
Les pirates ont volé 7,5 To de données sur le réseau du contractant puis ont altéré le site web de l'entreprise avec un "yoba face", un emoji populaire auprès des utilisateurs russes et qui est utilisé pour troller.
Les pirates ont posté des captures d'écran des serveurs de la société sur Twitter et ont ensuite partagé les données volées avec Digital Revolution, un autre groupe de pirates informatiques qui s’était attaqué l'année dernière le Quantum, un autre sous-traitant du FSB.
Ce deuxième groupe de hackers a partagé les fichiers volés sur son compte Twitter le jeudi 18 juillet et avec les journalistes russes par la suite.
 

Les projets secrets du FSB

Selon les différents articles parus dans les médias russes, les fichiers indiquent que SyTech a travaillé depuis 2009 sur une multitude de projets, principalement pour le compte de l’unité 71330 du FSB et pour le contractant Quantum. Les projets comprennent:    
  • Nautilus - un projet de collecte de données sur les utilisateurs de médias sociaux (tels que Facebook, MySpace et LinkedIn).    
  • Nautilus-S - un projet de désanonymisation du trafic Tor à l'aide de relais Tor compromis.    
  • Récompense - un projet visant à pénétrer secrètement dans des réseaux P2P, comme celui utilisé pour les torrents.     Mentor - un projet de surveillance et de recherche de communications par courrier électronique sur les serveurs d'entreprises russes.    
  • Espoir - un projet visant à étudier la topologie de l'internet russe et sa connexion au réseau d'autres pays.    
  • Tax-3 - projet de création d'un intranet fermé destiné à stocker les informations de personnalités hautement sensibles, de juges et de représentants de l'administration locale, à l'écart des autres réseaux informatiques de l'État.
BBC Russia, qui a reçu une partie des documents, affirme qu'il existait d'autres projets plus anciens de recherche sur d'autres protocoles réseau, tels que Jabber (messagerie instantanée), ED2K (eDonkey) et OpenFT (transfert de fichiers d'entreprise). D'autres fichiers publiés sur le compte Twitter de Digital Revolution affirmaient que le FSB suivait également des étudiants et des retraités.

Certains projets ont vu le jour et ont été testés

Mais si la plupart des projets semblent n’être que des projets de recherche sur la technologie moderne - ce que tous les services de renseignement mènent à bien -, deux semblent avoir été testés dans le monde réel.
Le premier était Nautilus-S, pour la désanonymisation du trafic de Tor. BBC Russia a souligné que les travaux sur Nautilus-S avaient débuté en 2012. Deux ans plus tard, en 2014, des universitaires de l'Université de Karlstad en Suède ont publié un article détaillant l'utilisation de nœuds de sortie hostiles de Tor qui tentaient de décrypter le trafic Tor.
Les chercheurs ont identifié 25 serveurs malveillants, dont 18 situés en Russie. Ces serveurs relais exécutaient la version 0.2.2.37 de Tor, le même que celui détaillé dans les fichiers filtrés.
Le deuxième projet est "Espoir" : celui ci vise à analyser la structure et la composition du réseau russe sur Internet. Plus tôt cette année, la Russie a mené des tests au cours desquels elle a déconnecté son réseau national du reste de l'internet.
SyTech, la société piratée, a supprimé son site web et a refusé de répondre aux médias.

Source : Hackers breach FSB contractor, expose Tor deanonymization project and more

mardi 30 octobre 2018

La cybercriminalité financière en Russie: son fonctionnement




La cybercriminalité financière en Russie: son fonctionnement;
introductionLe marché de la cybercriminalité en langue russe est connu dans le monde entier. Par «marché en langue russe», nous entendons les cybercriminels citoyens de la Fédération de Russie et de certains pays de l'ex-URSS, principalement l'Ukraine et les États baltes. Pourquoi ce marché est-il connu dans le monde entier? Il y a deux facteurs principaux: le premier est la fréquente couverture médiatique mondiale de l'activité des cybercriminels russes. Le second est l’accessibilité ouverte des plates-formes en ligne utilisées par la communauté des cybercriminels pour les communications, en promouvant une variété de «services» et de «produits» et en discutant de leur qualité et de leurs méthodes d’application, s’il n’ya pas lieu de passer des marchés.Au fil du temps, la gamme de «produits» et de «services» disponibles sur ce marché parallèle a évolué pour devenir de plus en plus axée sur les attaques financières et pour devenir de plus en plus sophistiquée. L'un des types les plus courants de cybercriminalité était (et reste toujours) le chiffre d'affaires généré par les données de cartes de paiement volées. Avec l’émergence de magasins en ligne et d’autres services impliquant des transactions de paiement électronique, les attaques DDoS et la cybercriminalité financière sont devenues particulièrement populaires auprès des fraudeurs dont les cibles principales sont les données de paiement des utilisateurs ou le vol d’argent directement des comptes d’utilisateur ou des entreprises.Les attaques sur les portefeuilles électroniques des utilisateurs et des entreprises ont été lancées par le chevalier ibérique en 2006; Viennent ensuite ZeuS (2007) et SpyEye (2009), suivis des groupes Carberp (2010) et Carbanak (2013). Et cette liste est incomplète; Il existe de plus en plus de chevaux de Troie, utilisés par les criminels pour voler l’argent et les données des utilisateurs.Les transactions financières en ligne devenant de plus en plus courantes, les organisations qui les soutiennent deviennent de plus en plus attrayantes pour les cybercriminels. Au cours des dernières années, les cybercriminels ont de plus en plus attaqué non seulement les clients des banques et des magasins en ligne, mais également les systèmes habilitants des banques et des systèmes de paiement. L'histoire du cybergroupe Carbanak, spécialisé dans l'attaque de banques et qui a été exposée plus tôt cette année par Kaspersky Lab, confirme clairement cette tendance.Les experts de Kaspersky Lab surveillent le pirate informatique russe sous-terrain depuis son apparition. Kaspersky Lab publie régulièrement des rapports sur les cyber-menaces financières, qui suivent l'évolution du nombre d'attaques de logiciels malveillants financières survenues au fil du temps. Les informations sur le nombre d'attaques peuvent indiquer l'étendue du problème mais ne révèlent rien sur qui les crée et comment. Nous espérons que notre examen contribuera à éclairer cet aspect de la cybercriminalité financière.

    
Entre 2012 et 2015, les forces de l'ordre ont arrêté plus de 160 cybercriminels russophones.
    
TweetLes données présentées dans cet article ont été compilées à partir de dizaines d’enquêtes auxquelles les experts de Kaspersky Lab ont participé au cours des dernières années, ainsi que de leurs nombreuses années d’observation du marché russe de la cybercriminalité.Aperçu de la situationSelon Kaspersky Lab, entre 2012 et 2015, les services répressifs de différents pays, notamment les États-Unis, la Russie, la Biélorussie, l'Ukraine et l'UE, ont arrêté plus de 160 cybercriminels russophones membres de petites, moyennes et grandes grands groupes criminels. Ils étaient tous soupçonnés de voler de l'argent en utilisant des logiciels malveillants. Le montant total des dommages résultant de leurs activités mondiales a dépassé 790 millions de dollars. (Cette estimation est basée à la fois sur l'analyse des informations publiques sur les arrestations de personnes soupçonnées d'avoir commis une cybercriminalité financière entre 2012 et 2015 et sur les propres données de Kaspersky Lab.) Sur cette somme, environ 509 millions de dollars ont été volés hors des frontières. de l'ex-URSS. Bien entendu, ce chiffre ne comprend que les pertes confirmées, dont les détails ont été obtenus par les autorités répressives au cours de l'enquête. En réalité, les cybercriminels auraient pu voler une quantité beaucoup plus grande.cybercrime_underground_fra_1Nombre d'arrestations de cybercriminels russophones annoncées officiellement entre 2012 et 2015Depuis 2013, l’équipe d’enquêtes sur les incidents informatiques de Kaspersky Lab a participé à l’enquête sur plus de 330 incidents de cybersécurité. Plus de 95% d'entre eux étaient liés au vol d'argent ou d'informations financières.Bien que le nombre d'arrestations de criminels de langue russe soupçonnés de cybercriminalité financière ait considérablement augmenté en 2015 par rapport à l'année précédente, le marché de la cybercriminalité est toujours "encombré". Selon les experts de Kaspersky Lab, la cybercriminalité en russe a recruté au cours des trois dernières années jusqu'à mille personnes. Il s'agit notamment des personnes impliquées dans la création d'infrastructures et dans la rédaction et la distribution de codes malveillants pour voler de l'argent, ainsi que dans celles qui ont volé ou encaissé l'argent volé. La plupart des personnes arrêtées ne sont toujours pas en prison.Nous pouvons calculer assez précisément le nombre de personnes constituant la structure de base d’un groupe criminel actif: les organisateurs,
les comptes compromis et les pirates professionnels. Parmi les cybercriminels, il n’ya qu’une vingtaine d’entre eux. Ils consultent régulièrement des forums clandestins et les experts de Kaspersky Lab ont collecté une quantité considérable d'informations suggérant que ces 20 personnes jouent un rôle de premier plan dans des activités criminelles impliquant le vol en ligne d'argent et d'informations. 
Le nombre exact de groupes actifs en Russie et en Allemagne ses pays voisins sont inconnus: beaucoup de personnes impliquées dans des activités criminelles participent à plusieurs vols puis, pour diverses raisons, cessent leurs activités. Certains membres de groupes connus mais apparemment dissous poursuivent leurs activités criminelles au sein de nouveaux groupes.Le service d’enquête sur les incidents informatiques de Kaspersky Lab peut désormais confirmer l’activité d’au moins cinq grands groupes cybercriminels spécialisés dans les crimes financiers. Il s’agit des groupes dont les activités ont été surveillées par les experts de la société au cours des dernières années.
 Les cinq groupes ont attiré l’attention des experts de la société en 2012-2013 et sont toujours actifs. Ils comptent chacun entre dix et 40 personnes. Au moins deux d'entre eux attaquent activement des cibles non seulement en Russie, mais également aux États-Unis, au Royaume-Uni, en Australie, en France, en Italie et en Allemagne.  
Environ 20 personnes, qui constituent la structure de base d'un groupe criminel actif, ont été relâchées. L'enquête sur ces groupes n'étant pas terminée, il est impossible de publier des informations plus détaillées sur les activités de ces groupes. Kaspersky Lab continue d'enquêter sur leurs activités et coopère avec les forces de l'ordre russes et d'autres pays afin de freiner leurs activités cybercriminelles. L'enquête sur les activités de ces groupes a permis aux experts de Kaspersky Lab de se faire une idée de leurs méthodes de la structure du marché des cybercriminels.La structure du marché des cybercriminels en langue russe «Une gamme de produits et de services» Le marché des cybercriminels comprend généralement un ensemble de «services» et de «produits» utilisés pour diverses actions illégales dans le cyberespace. 
 Ces «produits» et «services» sont proposés aux utilisateurs de communautés en ligne dédiées, dont la plupart sont fermées aux étrangers. 

Les «produits» comprennent: 
Un logiciel conçu pour obtenir un accès non autorisé à un ordinateur ou à un appareil mobile, afin de voler des données. à partir d'un appareil infecté ou de l'argent d'un compte de victime (les chevaux de Troie); Logiciels conçus pour tirer parti des vulnérabilités du logiciel installé sur l’ordinateur de la victime (exploits); Bases de données de données de cartes de crédit volées et autres informations précieuses; Trafic Internet (un certain nombre de visites sur un site sélectionné par le client par des utilisateurs ayant un profil spécifique.) Les «services» comprennent: la distribution de spam; Organisation d'attaques DDoS (surcharge des sites avec des requêtes afin de les rendre inaccessibles aux utilisateurs légitimes); Tester les logiciels malveillants pour la détection antivirus; «Emballage» des logiciels malveillants (modification de logiciels malveillants à l'aide de logiciels spéciaux (emballeurs) afin qu'ils ne soient pas détectés par un logiciel antivirus); Louer des packs d’exploitation; Location de serveurs dédiés; VPN (accès anonyme aux ressources Web, protection de l'échange de données); Louer un hébergement résistant aux abus (hébergement qui ne répond pas aux plaintes concernant du contenu malveillant et ne désactive donc pas le serveur); Location de botnets; Évaluation des données de carte de crédit volées; Services de validation des données (faux appels, faux documents numérisés); Promotion de sites malveillants et publicitaires dans les résultats de recherche (Black SEO); Médiation de transactions pour l'acquisition de «produits» et de «services»; Retrait d'argent et encaissement. Les paiements pour ces «produits» et «services» sur le marché cybercriminel sont généralement effectués via un système de paiement électronique tel que WebMoney, Perfect Money, Bitcoin et autres. 
Tous ces «produits» et «services» sont achetés et vendus dans diverses combinaisons afin de permettre quatre types principaux de crime. 
 Ces types peuvent également être combinés de différentes manières en fonction du groupe criminel: attaques par DDoS (ordonnées ou menées à des fins d'extorsion); Vol d'informations personnelles et de données pour accéder à de la monnaie électronique (à des fins de revente ou de vol d'argent); Vol d'argent sur les comptes de banques ou d'autres organisations; Espionnage domestique ou d'entreprise; Blocage de l'accès aux données sur l'ordinateur infecté aux fins d'extorsion de fonds: selon les experts de Kaspersky Lab, le vol d'argent est actuellement le type de crime le plus répandu. Le reste du présent rapport se concentre donc sur ce segment du marché de la cybercriminalité en russe. 
Le «marché du travail» de la cybercriminalité financièreLa diversité des compétences requises pour la création de «produits» et la fourniture de «services» a donné lieu à une expérience unique. marché du travail des professionnels impliqués dans la cybercriminalité financière. La liste des rôles clés est presque identique à celle de toute entreprise liée aux technologies de l’information: programmeurs / encodeurs / auteurs de virus (pour la création de logiciel et modification des logiciels malveillants existants); Concepteurs de sites Web (pour la création de pages d'hameçonnage, de courriels, etc.); Administrateurs système (pour la construction et le support de l'infrastructure informatique); Testeurs (pour tester le logiciel malveillant); "Cryptors" (responsables de la compression des codes malveillants pour contourner la détection antivirus). La liste n'inclut pas les responsables des groupes criminels, les gestionnaires de flux monétaires chargés de retirer de l'argent des comptes compromis et les responsables de mules contrôlant le processus. d'encaisser l'argent volé. En effet, la relation entre ces éléments des groupes criminels n’est pas une relation employeur-employé, mais davantage un partenariat.
Selon le type et l’ampleur de l’activité criminelle, les chefs des groupes emploient du «personnel» et les rémunèrent. un salaire fixe ou travaillez avec eux sur une base indépendante en payant pour un projet particulier. 
Cybercriminalité financière en Russie: son fonctionnement
Une offre d'emploi publiée sur un forum semi-fermé invitant un programmeur à rejoindre un groupe de cybercriminels. Les compétences requises incluent une expérience dans la rédaction de robots complexes. Les «employés» sont recrutés via des sites sur lesquels les personnes impliquées dans des activités criminelles se rassemblent traditionnellement ou via des ressources destinées aux personnes intéressées par des moyens non conventionnels de gagner de l'argent en ligne. Dans certains cas, les annonces sont placées sur les principaux sites de recherche d’emploi ou sur les bourses de travail des employés distants. Nous pouvons confirmer l’activité d’au moins 5 grands groupes de cybercriminels spécialisés dans les crimes financiers 
Tweet
En général, les employés impliqués dans la cybercriminalité peuvent être divisés en deux types: ceux qui sont conscients de l’illégalité du projet ou du travail qui leur est proposé, et ceux qui (au moins au début) ne sais rien. Dans ce dernier cas, il s’agit généralement de personnes effectuant des opérations relativement simples, telles que la copie de l’interface des systèmes et sites bancaires. En annonçant de "véritables" offres d’emploi, les cybercriminels s’attendent souvent à trouver des employés de régions éloignées de la Russie et des pays voisins ) où les problèmes liés aux possibilités d'emploi et aux salaires des informaticiens sont assez graves.
La cybercriminalité financière en Russie: son fonctionnement 
Un fraudeur a publié un avis de vacance pour un poste de spécialiste java / flash sur un site web ukrainien très apprécié. Les exigences du poste incluent un bon niveau de compétences en programmation en Java, Flash, une connaissance des spécifications JVM / AVM, etc. L'organisateur propose un travail à distance et un plein emploi avec un salaire de 2 500 dollars. L'idée de rechercher des «employés» dans ces régions est simple: ils réalisent des économies, car le personnel peut être moins payé que les employés basés dans les grandes villes. Les criminels accordent également souvent la préférence aux candidats qui n’ont jamais été impliqués dans des activités de cybercriminalité. Souvent, de telles offres d’emploi sont présentées comme des tâches légitimes, leur véritable objectif n’apparaissant que lorsque la tâche aura été reçue.
La cybercriminalité financière russe: comment travaux
Dans cet exemple, l'organisateur du groupe criminel propose un travail à un programmeur javascript, en le masquant sous un poste vacant dans un «studio d'innovation sur le Web spécialisé dans le développement d'applications Internet hautement sophistiquées». Dans le cas des sites de recherche d'emploi illégaux, Des candidats moins expérimentés sont attendus. 
Cybercriminalité financière russe: son fonctionnement
Cet emploi vacant invite un développeur C ++ à développer un logiciel "sur mesure". Dans ce contexte, «logiciel personnalisé» désigne un logiciel malveillant. La deuxième raison en faveur du «personnel» distant est l'objectif de l'organisateur visant à rendre l'activité du groupe aussi anonyme que possible et à faire en sorte qu'aucun sous-traitant ne dispose d'informations complètes sur le groupe. .Options pour l'organisation d'un groupe criminelLes groupes criminels impliqués dans le vol d'argent ou d'informations financières qui leur permettront d'accéder à de l'argent, diffèrent par le nombre de participants et l'étendue des activités. Il existe trois principaux types d’intervention: Programmes d’affiliation Concessionnaires individuels, groupes de petite et moyenne taille (jusqu’à dix membres) Grands groupes organisés (dix participants ou plus) Cette division est symbolique. L’ampleur de l’activité du groupe dépend de la compétence de ses participants, de leur ambition et du niveau global des capacités organisationnelles.  
Dans certains cas, les experts de Kaspersky Lab ont rencontré des groupes criminels relativement petits qui effectuaient des tâches nécessitant généralement un plus grand nombre de participants.Programmes d'affiliation Les programmes d'affiliation sont la méthode la plus simple et la moins coûteuse de participer à des activités de cybercriminalité. L'idée derrière un programme d'affiliation est que les organisateurs fournissent à leurs "affiliés" presque tous les outils dont ils ont besoin pour commettre un crime. Les «filiales» ont pour tâche de générer le plus grand nombre possible d’infections par programmes malveillants. En retour, le ou les propriétaires du programme d'affiliation partagent les revenus perçus à la suite de ces infections avec les affiliés.  
Selon le type de stratagème frauduleux, cela pourrait représenter une partie: des sommes volées sur les comptes des utilisateurs des services bancaires par Internet; L'argent payé par l'utilisateur en guise de rançon lorsque les cybercriminels utilisent des chevaux de Troie de ransomwares; L'argent volé sur les comptes «prépayés» des utilisateurs d'appareils mobiles en envoyant des SMS à des numéros mobiles premium à l'aide d'un programme malveillant.Créer et soutenir un programme d'affiliation dans le but de voler de l'argent est un cybercrime commis, en règle générale , par un groupe d'utilisateurs.  
Cependant, de tels projets sont souvent réalisés par de grands groupes organisés dont l'activité est analysée plus loin dans ce document.La cybercriminalité financière en Russie: son fonctionnement Cette annonce annonce le lancement du test bêta d'un programme d'affiliation utilisé pour distribuer le cryptage de ransomware. À en juger par ses caractéristiques, l’activité du groupe est axée sur les sociétés situées aux États-Unis et au Royaume-Uni.  
Ceci est indiqué par le commentaire indiquant que le logiciel malveillant distribué via le réseau partenaire est capable de chiffrer des fichiers avec 80 extensions différentes, dont la plupart sont des fichiers d’applications utilisées par les entreprises. Le texte sur les conditions à remplir par les candidats pour participer à des tests inclut une démonstration de la présence de trafic ou de téléchargements depuis les États-Unis et le Royaume-Uni. Selon les experts de Kaspersky Lab, les programmes d'affiliation sont de moins en moins populaires auprès des cybercriminels de langue russe. Les stratagèmes frauduleux utilisés pour infecter les appareils mobiles des utilisateurs avec des programmes malveillants, qui envoyaient ensuite des SMS à des numéros premium, avaient été le principal moteur de leur popularité.  
Toutefois, au printemps 2014, le régulateur russe a introduit de nouvelles exigences en matière d'organisation de tels services, notamment la nécessité d'obtenir une confirmation supplémentaire de l'abonnement à un service mobile payant donné. Ce changement a permis de réduire pratiquement le nombre de programmes malveillants de partenaires mobiles. Néanmoins, ce type d’activité cybercriminelle commune est encore utilisé par des groupes spécialisés dans la distribution de ransomwares cryptés.
 De petits groupes Ce qui distingue cette forme d’activité cybercriminelle d’un programme d’affiliation est que, dans ce cas, le ou les criminels organisent leur propre stratagème frauduleux. La plupart des composants nécessaires à l'attaque, tels que les logiciels malveillants et leurs modifications (logiciels malveillants «reconditionnés»), le trafic, les serveurs, etc., sont achetés sur le marché noir. Souvent, les membres de ces groupes ne sont pas des experts dans le domaine des technologies informatiques et de réseau; ils découvrent les composants et l'organisation d'attaques financières auprès de sources publiques, généralement des forums. Les capacités de ces groupes peuvent être limitées par un certain nombre de facteurs. Plus précisément, l'utilisation de logiciels malveillants largement disponibles permet une détection rapide par les solutions de sécurité. Cela fait en sorte que les cybercriminels investissent plus d’argent dans la distribution de logiciels malveillants et dans leur «réemballage» pour contourner la détection. Le résultat final est une chute importante des profits de l'attaquant. Les erreurs commises par ce type de cybercriminel aboutissent souvent à leur identification et à leur arrestation. Cependant, en tant qu’entrée relativement peu coûteuse dans le monde des activités cybercriminelles (à partir de 200 dollars), ce format «amateur» continue d’attirer de nouveaux revendeurs. Un exemple d’une telle organisation criminelle «amateur» est le groupe qui a été reconnu coupable en 2012 par le tribunal russe pour avoir volé plus de 13 millions de roubles (alors d'une valeur d'environ 422 000 dollars) des clients en ligne d'une banque russe. Au cours d'une enquête approfondie, les experts de Kaspersky Lab ont pu collecter les informations permettant aux autorités répressives d'identifier les auteurs du vol. Le tribunal a condamné deux membres du groupe criminel, condamnés à une peine de quatre ans et demi avec sursis. Cependant, ce verdict n’a pas arrêté les criminels et ils ont continué à commettre des crimes, volant presque autant au cours des deux prochaines années et demie. 
 Ils ont été arrêtés de nouveau en mai 2015.
Grands groupes criminels organisés
Les grands groupes criminels diffèrent des autres acteurs, tant par une activité à plus grande échelle que par une approche plus approfondie de l'organisation et du fonctionnement des stratagèmes criminels. Ces groupes peuvent comprendre plusieurs dizaines de personnes (non compris les mules servant à encaisser et à "blanchir" de l'argent). Les cibles de leurs attaques ne se limitent pas aux clients des services bancaires en ligne: elles s'attaquent également aux petites et moyennes entreprises. les plus importants et les plus sophistiqués, tels que Carbanak, se concentrent principalement sur les banques et les systèmes de paiement électronique. La structure opérationnelle des grands groupes diffère considérablement de celle des groupes plus petits. Dans une certaine mesure, la structure est celle d'une entreprise de taille moyenne, moyenne, engagée dans le développement de logiciels. 
En particulier, les grands groupes ont un certain type de personnel régulier - un groupe de collaborateurs qui effectuent des tâches organisationnelles en échange d'un paiement fixe régulier. . Cependant, même dans ces grands groupes professionnels, certaines tâches sont confiées à des tiers. Par exemple, le «réemballage» des logiciels malveillants peut être effectué par le personnel ou des rédacteurs de virus embauchés, ou par le biais de services tiers lorsque le processus est automatisé aidé d'un logiciel spécial. Il en va de même pour de nombreux autres éléments de l’infrastructure informatique nécessaires à la perpétration de crimes. Les exemples de grands groupes criminels organisés sont Carberp, dont les membres ont été arrêtés respectivement en Russie et en Ukraine en 2012 et 2013, et Carbanak, démasqué par Kaspersky Lab au début de l'année. 2015.Bien que les dommages causés par l'activité des programmes partenaires et des petits groupes puissent atteindre des centaines de milliers de dollars, les grands groupes criminels sont les plus dangereux et les plus destructeurs. Les dommages estimés causés par Carberp atteignent plusieurs centaines de millions de dollars (jusqu'à un milliard).
 À cet égard, il est extrêmement important d’étudier le fonctionnement de ces groupes et la tactique qu’ils utilisent, car ils renforcent notre capacité à enquêter efficacement sur leur activité et, en fin de compte, à la supprimer. Répartition des rôles dans un grand groupe de cybercriminelsUne cybercriminalité financière entreprise par des criminels Les «experts» en sécurité et dans le secteur financier peuvent entraîner des pertes de plusieurs millions de dollars pour les organisations attaquées.  
En règle générale, ces crimes sont précédés de plusieurs mois de préparation. Cette préparation comprend la construction d’une infrastructure complexe, la sélection et le développement de logiciels malveillants, ainsi qu’une étude approfondie de l’organisation cible afin de clarifier les détails de ses opérations internes et de ses vulnérabilités en matière de sécurité. Chaque membre du groupe criminel a ses propres responsabilités.
La cybercriminalité financière russe: son fonctionnement 
La répartition des rôles suivante est typique d'un groupe criminel impliqué dans le vol d'argent. La répartition des rôles dans des groupes spécialisés dans d'autres types de cybercriminalité peut être différente.Enregistreur de virus / ProgrammeurUn écrivain ou programmeur de virus est responsable de la création de programmes malveillants, c'est-à-dire des programmes qui permettent aux attaquants de prendre pied dans le réseau d'entreprise de la cible. organisation, téléchargez des logiciels malveillants supplémentaires qui vous aideront à obtenir les informations nécessaires, puis volez de l’argent. L’importance de ce membre du groupe et la nature de leur relation avec les organisateurs peuvent varier d’un groupe à l’autre. Par exemple, si le groupe utilise des logiciels malveillants prêts à l’emploi provenant de sources ouvertes ou achetés à d’autres auteurs de virus, leurs fonctions peuvent se limiter à la configuration et à la modification de programmes malveillants afin de fonctionner dans l’infrastructure créée spécifiquement pour une cybercriminalité donnée, ou pour l’adapter à attaques contre des institutions spécifiques. Les groupes les plus avancés, cependant, ont tendance à s'appuyer sur leurs propres «développements», car ils rendent un programme malveillant moins visible pour la plupart des solutions de sécurité et offrent davantage d'opportunités pour la modification de logiciels malveillants. Le cas échéant, le rôle du créateur de virus devient plus important car il est responsable de l’architecture et de l’ensemble des fonctionnalités d’un programme malveillant. Un auteur de virus peut également assumer la responsabilité du «reconditionnement» des programmes malveillants. Mais cela ne se produit que lorsque l'organisateur souhaite conserver le nombre maximal de tâches dans le groupe et que le logiciel d'origine est utilisé pour le «reconditionnement» des programmes malveillants. Toutefois, dans la plupart des cas, cette procédure est transférée à des tiers ou à des prestataires de services d’emballage. 
Testeurs La fonction des vérificateurs dans un groupe criminel n’est pas très différente de celle des vérificateurs travaillant dans des entreprises informatiques du secteur juridique. Dans les deux cas, les testeurs reçoivent de leurs gestionnaires les spécifications permettant de tester des programmes dans différents environnements (différentes versions de systèmes d'exploitation, différents ensembles d'applications installées, etc.) et les exécutent. Si un stratagème frauduleux implique de fausses interfaces de systèmes de banque à distance ou de paiement électronique, les testeurs doivent également surveiller le bon fonctionnement de ces contrefaçons. Web designers et programmeurs Web En règle générale, les concepteurs et les programmeurs Web sont des employés distants, chargés notamment de créer du phishing. pages et sites Web, fausses interfaces d'applications et applications Web, qui servent tous à voler des données pour accéder au système de paiement et de banque en ligne. Distributeurs Les distributeurs ont pour objectif de garantir le téléchargement de logiciels malveillants sur autant d'appareils que possible. Le résultat est obtenu en utilisant plusieurs outils. En règle générale, l'organisateur de groupe détermine le profil des utilisateurs à infecter et achète le type de trafic requis aux "fournisseurs de trafic" (services destinés à attirer des utilisateurs présentant certaines caractéristiques sur un site web en particulier). 
 Cybercriminalité financière russe: son fonctionnement
Annonce offrant d'acheter du trafic. Les cybercriminels ne sont disposés à payer que pour l'installation réussie de logiciels malveillants à 140 $ par 1 000 «rappels» (un message envoyé par le logiciel malveillant au serveur de commande après une infection réussie). L'organisateur peut choisir et commander un spam. mailing contenant un fichier joint infecté ou un lien menant une victime vers un site Web malveillant. Les organisateurs peuvent également choisir le site avec le public cible nécessaire. impliquer les hackers pour y pénétrer et y placer le pack d’exploits Bien sûr, tous ces outils peuvent être utilisés en combinaison les uns avec les autres. HackersOften, au cours d'une attaque,les exploits et autres logiciels malveillants dont dispose l'organisateur ne suffisent pas pour infecter tous les ordinateurs nécessaires à l'attaque et pour les ancrer. Il peut s'avérer nécessaire de pirater un ordinateur ou un site spécifique. Dans de tels cas, les organisateurs impliquent des pirates informatiques, des personnes qui possèdent des compétences considérables en matière de sécurité de l’information et qui sont en mesure d’exécuter des tâches non standard. Dans de nombreux cas examinés par les experts de Kaspersky Lab, des pirates informatiques ont été occasionnellement impliqués et rémunérés à l'acte. Toutefois, si le piratage est requis régulièrement (par exemple, pour des attaques ciblées contre des institutions financières), un pirate informatique devient un "membre de l'équipe" et constitue souvent l'un des principaux participants du groupe de cybercriminels, aux côtés des organisateurs et des gestionnaires de flux financiers. 
Administrateurs système
Administrateurs système Les groupes de cybercriminels exécutent des tâches presque identiques à celles de leurs homologues au sein d'entreprises légitimes: ils mettent en place l'infrastructure informatique et la maintiennent en état de fonctionnement. Les administrateurs système cybercriminels configurent des serveurs de gestion, achètent des hébergements résistent aux abus, garantissent la disponibilité des outils de connexion anonyme aux serveurs (VPN) et résolvent d’autres problèmes techniques, notamment l’interaction avec les administrateurs système distants embauchés pour effectuer de petites tâches.Call servicesSocial l'ingénierie est importante pour le succès de l'entreprise cybercriminelle. Surtout quand il s’agit d’attaques contre des organisations qui entraînent le vol d’énormes sommes d’argent. Dans la plupart des cas, même si les attaquants sont en mesure d’établir le contrôle sur l’ordinateur à partir duquel la transaction pourrait être effectuée, il est nécessaire de confirmer sa légitimité pour mener à bien l’opération. C’est à cela que sert le «service d’appel». À l’heure indiquée, ses «employés» jouent le rôle d’employé de l’organisation attaquée ou de la banque avec laquelle elle travaille et confirment la légitimité de la transaction. Les «services d’appel» peuvent participer à une cybercriminalité particulière, à la fois comme une subdivision. du groupe criminel, ou en tant qu’organisation tierce, effectuant une tâche spécifique contre rémunération. Les forums que les utilisateurs impliqués dans la cybercriminalité utilisent pour communiquer avec chacun contiennent de nombreuses annonces proposant de tels services. 
Cybercriminalité financière en russe: son fonctionnement
Cette publicité propose des «services d'appel» en anglais, allemand, néerlandais et français. Le groupe est spécialisé dans les appels vers les magasins Internet et les banques, ainsi que vers les mules dupés. En outre, le groupe propose la création rapide de numéros sans frais locaux utilisés pour imiter les services d'assistance dans les systèmes frauduleux, la réception de SMS, ainsi que la réception et l'envoi de fax. Les criminels demandent entre 10 et 12 USD pour un appel, 10 USD pour la réception de SMS et 15 USD pour la création de numéros sans frais. Selon Kaspersky Lab, les grands groupes de cybercriminels préfèrent disposer de leurs propres "services d'appel". Fournisseurs tiers. Gestionnaires de flux financiers Les gestionnaires de flux financiers sont des membres du groupe des cybercriminels qui interviennent lorsque toutes les tâches techniques nécessaires à l'organisation de l'attaque (choisir et infecter la cible et l'ancrer dans son infrastructure) sont remplies et que tout est prêt à être utilisé. le vol Les gestionnaires de flux monétaires sont les personnes qui retirent de l’argent de comptes compromis. Cependant, leur participation ne se limite pas à appuyer sur les touches; ils jouent un rôle clé dans tout le processus. La liste des rôles clés dans les cyber-gangs financiers est presque identique à celle des sociétés informatiques Les gestionnaires de flux TweetMoney comprennent généralement parfaitement les règles internes de l'organisation attaquée (ils connaissent même les heures de repas de l'employé à partir de l'ordinateur duquel la transaction frauduleuse sera effectuée). Ils savent comment fonctionnent les systèmes anti-fraude automatisés et comment les contourner. En d'autres termes, en plus de leur rôle criminel en tant que voleurs, les gestionnaires de flux financiers effectuent des tâches «expertes» difficiles, voire impossibles à automatiser. Peut-être en raison de ce statut particulier, les gestionnaires de flux financiers sont l’un des rares membres du groupe criminel à percevoir un pourcentage de l’argent volé plutôt qu’un «salaire» fixe. Les gestionnaires de flux financiers agissent souvent en tant qu’opérateurs de réseaux de zombies. C'est-à-dire les membres du groupe criminel qui analysent et classifient les informations obtenues à partir d'ordinateurs infectés (accès aux services de banque à distance, disponibilité d'argent sur les comptes auxquels on pourrait accéder, organisation où se trouve l'ordinateur infecté, etc.). Chargeurs de fonds, ces «conditions de travail» ne sont partagées que par les responsables des projets de mulets. Head of Mules (Chef de projet «Mule») Le responsable de mules est un représentant du groupe criminel qui travaille en étroite collaboration avec les personnes impliquées dans le processus de vol d'argent. .
 La fonction des mules est d’obtenir l’argent volé, de l’encaisser et de transférer au groupe criminel sa juste part. Pour ce faire, le chef des mules construit sa propre infrastructure, composée d’entités juridiques et de personnes disposant de leurs propres comptes bancaires, vers laquelle l’argent volé est transféré et duquel il est ensuite retiré et transféré dans les poches des fraudeurs. Le chef de projet mule coopère avec l'organisateur du groupe criminel et lui fournit les numéros des comptes auxquels le chargeur de fonds envoie l'argent volé. Les chefs de projet mule et les gestionnaires de flux monétaires travaillent sur une commission qui, selon les informations obtenues par Kaspersky Lab au cours de l'enquête, peut représenter la moitié de la somme volée.Les «projets» Mule 
Les projets Mule sont un élément essentiel de toute cybercriminalité financière. Ces groupes comprennent un ou plusieurs organisateurs et plusieurs dizaines de mulets individuels. Un mulet (ou un porteur) est un détenteur d'un moyen de paiement qui, sur ordre du gestionnaire des mules, encaisse l'argent reçu sur son / un compte, ou Le transfère à un autre compte, comme spécifié par le responsable des mules. Les mules peuvent être divisées en deux types: dupé et non-dupé. Les mulets doublés sont des personnes qui, au moins au début de leur coopération avec le responsable des mules, ne réalisent pas qu’elles sont impliquées dans un stratagème criminel. En règle générale, la tâche d'obtenir et de transférer de l'argent leur est présentée sous un prétexte plausible. Par exemple, le gestionnaire de mules monétaires peut créer une personne morale et nommer à un poste de direction (directeur général ou directeur financier, par exemple) une personne qui exercera les fonctions de mule dupé: par exemple, la signature de documents d'entreprise qui servir de tamis juridique pour le retrait de l'argent volé.Les mules non dupées sont bien conscientes du but réel des tâches du gestionnaire de mules pour l'argent. Les options utilisées par les projets de mules pour retirer de l'argent sont multiples. Selon le montant de l'argent volé, ils peuvent inclure des détenteurs individuels de cartes de crédit disposés à encaisser de l'argent et à le remettre au représentant du gestionnaire de mules pour une somme modique, ou des entités juridiques spécialement créées, dont les représentants ouvrent des «projets salariaux» (crédit). cartes de transfert des salaires des employés de l'entreprise) dans leur banque d'entreprise. Une autre méthode courante pour construire un système de mules consiste à ouvrir des dizaines de comptes dans plusieurs banques à l'aide de mules non-dupées. Cybercriminalité financière russe: son fonctionnement Cette annonce propose des ensembles de paiements les cartes (la carte, les documents sur lesquels la carte a été autorisée, la carte SIM à laquelle le compte bancaire de la carte est associé) pouvant être utilisées pour encaisser de l'argent volé. Pour la vente est la carte émise par les banques russes et les banques des pays voisins, ainsi que des banques des pays d'Europe, d'Asie et des États-Unis. Le jeu de type Momentum coûte 3 000 roubles (moins de 50 dollars), le jeu contenant la carte Platinum - 8 000 roubles (environ 120 dollars).
 Lorsque le vol a lieu en dehors de la Russie, le rôle des mules non dupées est joué par un citoyen ou groupe de citoyens d’un pays de l’Europe de l’Est qui, dans un court laps de temps, se rend dans plusieurs pays du continent et dans chacun d’eux ouvrent des comptes en leur nom Les mules non-dupe fournissent ensuite au gestionnaire des mules les données nécessaires pour accéder à tous ces comptes. Ces comptes sont utilisés ultérieurement pour retirer l'argent volé. Cybercrime_underground_fra_11
Un exemple d'annonce proposant à la vente une liste de sociétés enregistrées dans la Fédération de Russie et dans la zone offshore. Les services des cybercriminels coûtent entre 560 $ et 750 $. 
Stuffers
Le mot "stuffer" vient du mot "stuff" (un mot familier pour "marchandises"). Une façon de retirer de l'argent volé est d'acheter des biens dans les magasins en ligne avec l'argent volé, de les revendre et de restituer aux fraudeurs leur pourcentage dû. Ceci est fait par les bourreaux, les membres des groupes de cybercriminels engagés dans des dépenses de comptes compromis pour acheter des biens dans des magasins en ligne. En fait, un bourrage est une variante du gestionnaire de flux monétaires. Le retrait d'argent en achetant des biens est généralement pratiqué si les sommes volées sont relativement petites. En règle générale, les manutentionnaires travaillent en équipe avec les clôtures. Travailler «en tandem» implique souvent l'achat d'un certain type de biens, parfois auprès d'un fabricant spécifique ou d'un modèle clairement défini.
Organisateur
Si nous considérons la cybercriminalité comme un projet, l'organisateur du groupe criminel en est le directeur général. Leurs tâches consistent généralement à financer la phase préparatoire de l'attaque, à attribuer des tâches à des exécutants, à surveiller leur performance et à interagir avec des agents tiers tels que des projets de mules et des services d'appel (si le groupe ne dispose pas de son propre). L'organisateur détermine les cibles des attaques, sélectionne les «spécialistes» nécessaires et négocie avec eux. Étapes des attaques Il convient de noter que les classifications ci-dessus ne sont pas figées. Dans certains cas, un seul membre du groupe criminel peut combiner plusieurs rôles. 
 Néanmoins, quel que soit le nombre de personnes qui les exécutent, chacun des rôles décrits peut être trouvé lors d'enquêtes sur presque tous les incidents de cybercriminalité liés à l'argent. Voici comment ils fonctionnent en «temps réel». Exploration. Quand il s’agit d’attaques ciblées sur une entreprise donnée, l’organisateur demande d’abord aux contractants desinformations sur la société, ce qui aidera à développer un schéma d'ingénierie sociale plausible pour la première étape de l'attaque. Si nous parlons d’une attaque sur des utilisateurs individuels, la phase d’exploration préliminaire est ignorée ou limitée au choix d’un «public cible» pour l’attaque (par exemple, les utilisateurs du service bancaire en ligne d’une banque donnée) et à la création d’e-mails de phishing et sites de phishing avec un contenu pertinent. Infection. La pénétration du réseau de l’entreprise se fait par spear-phishing ou mass-mailing contenant une pièce jointe contenant le document spécial ou un lien Web malveillant. Ouvrir la pièce jointe ou suivre le lien mène à une infection par un logiciel malveillant.  
Souvent, l’infection se produit automatiquement sans que l’utilisateur se soit rendu compte de son existence ou de sa participation. Après avoir cliqué sur le lien, un programme malveillant est automatiquement téléchargé sur l’ordinateur de l’utilisateur (téléchargement en passant) et s’exécute sur ce dernier. Dans d'autres cas, l'infection est réalisée via des sites populaires compromis sur lesquels est placé un outil qui redirige invisiblement les utilisateurs vers un site tiers contenant un ensemble d'exploits. Une fois sur ce site, l'utilisateur sera infecté par des logiciels malveillants. Une fois à l'intérieur du système, les cybercriminels utilisent un certain nombre d'outils malicieux pour consolider leur présence. Par exemple, pour vous assurer que le logiciel malveillant est réinstallé sur les sites internes d’organisations compromises lorsque le logiciel de sécurité de l’entreprise supprime la version précédente. De plus, les attaquants sont souvent configurés dans le logiciel d'infrastructure de l'organisation attaquée, ce qui permet un accès facile au réseau d'entreprise interne depuis l'extérieur. Exploration et mise en œuvre. Les programmes d’administration et de gestion masqués et à distance sont téléchargés sur des ordinateurs compromis. Les cybercriminels les utilisent pour obtenir les informations d’identité des administrateurs système. Les programmes légaux de gestion et d'administration à distance dont les fonctionnalités sont connues de nombreux utilisateurs sont souvent utilisés à cette fin. Vol d'argent.  
Enfin, les cybercriminels accèdent aux systèmes financiers de l’organisation ciblée et transfèrent de l’argent de ses comptes vers les comptes des projets mules ou retirent de l’argent directement à des distributeurs automatiques.

 Conclusion

La cybercriminalité financière adossée à des criminels russophones s’est généralisée ces dernières années. la croissance est due à un certain nombre de causes. Les principales sont: manque de personnel qualifié dans les forces de l’ordre; Législation inadéquate permettant dans bien des cas aux criminels d’éviter toute responsabilité ou de recevoir une peine plus légère Manque de procédures établies pour la coopération internationale entre les services répressifs et des organisations d'experts de différents pays. Contrairement au monde réel, un vol qualifié dans le cyberespace passe généralement inaperçu et il existe très peu de temps pour recueillir des preuves numériques après le crime. De plus, les criminels n'ont pas besoin de rester dans le pays où le crime est commis. 
Malheureusement, pour les cybercriminels russophones, les conditions actuelles sont plus que favorables: le risque de poursuites est faible et les avantages potentiels élevés. 
 En conséquence, le nombre de crimes et les dommages causés par ceux-ci augmentent et le marché des services cybercriminels prend de l'ampleur. Les coûts d'entrée relativement faibles (200 USD) dans la cybercriminalité attirent de nouveaux revendeurs
 Tweet
Le manque de mécanismes de coopération internationale bien établis est également entre les mains des criminels: les experts de Kaspersky Lab savent par exemple que les membres de certains groupes criminels résident et travaillent en permanence. Les voisins de la Russie, tandis que les citoyens des États voisins impliqués dans des activités criminelles vivent et opèrent souvent sur le territoire de la Fédération de Russie.Kaspersky Lab fait tout son possible pour mettre fin aux activités de groupes de cybercriminels et encourage les autres entreprises et les forces de l'ordre dans tous les pays. L’enquête internationale sur l’activité de Carbanak, lancée par Kaspersky Lab, est le premier exemple de coopération internationale réussie. Si le monde souhaite voir un changement sérieux et positif, il devrait y avoir davantage de cas de ce type. Référence. Enquête sur les incidents informatiques de Kaspersky Lab Kaspersky Lab est un développeur réputé de solutions de sécurité anti-malware.
 Mais la société fournit une protection complète, y compris des services d’enquête sur les incidents informatiques.La preuve d’un incident, présentée principalement sous forme de données numériques, doit être collectée et enregistrée de manière à éviter tout doute quant à l’enquête et au procès. Lorsqu'une victime introduit une requête devant un tribunal.
L'enquête sur les incidents informatiques de Kaspersky Lab est chargée: de réagir aux incidents de sécurité informatique et de fournir une analyse rapide de la situation; Recueillir des preuves numériques et déterminer les circonstances des incidents de sécurité informatique conformément aux procédures établies; Analyser les preuves recueillies, rechercher les informations relatives aux circonstances de l’incident et les corriger; Préparation du matériel pour l’application de la victime aux organismes d'application de la loi; Fournir un soutien expert aux opérations d'enquête. 
Une quantité énorme de données est traitée lors d'interventions en cas d'incident de sécurité informatique et lors des opérations d'enquête connexes.  
L'analyse de ces données, associée aux statistiques sur les objets malveillants détectés, identifie les tendances en matière de comportement criminel dans le cyberespace.
Le département d'enquête sur les incidents informatiques de Kaspersky Lab, créé en 2011, compte six experts légistes.


REF.: