Un trésor considérable de 361 millions d’adresses e-mail provenant d’informations d’identification volées par des logiciels malveillants volant des mots de passe, lors d’attaques de bourrage d’informations d’identification et de violations de données ont été ajoutées au service de notification de violation de données Have I Been Pwned, permettant à quiconque de vérifier si ses comptes ont été compromis.
Les chercheurs en cybersécurité ont collecté ces informations d’identification auprès de nombreuses chaînes de cybercriminalité Telegram, où les données volées sont généralement divulguées aux utilisateurs de la chaîne pour renforcer leur réputation et leurs abonnés.
Source : Troy Hunt (à gauche) et BleepingComputer (à droite)
Les chercheurs, qui ont demandé à BleepingComputer de rester anonyme, ont partagé 122 Go d’informations d’identification avec Troy Hunt, le propriétaire de Have I Been Pwned, collectées sur de nombreuses chaînes Telegram.
“Il contenait 1,7k fichiers avec 2B lignes et 361 millions d’adresses e-mail uniques, dont 151 millions n’avaient jamais été vues dans HIBP auparavant”, a posté Hunt.
“A côté de ces adresses se trouvaient des mots de passe et, dans de nombreux cas, le site Web auquel les données se rapportent.”
Avec un ensemble de données aussi volumineux, il est impossible de vérifier que toutes les informations d’identification divulguées sont légitimes.
Cependant, Hunt a déclaré avoir utilisé les formulaires de réinitialisation de mot de passe des sites pour confirmer que de nombreuses adresses e-mail divulguées sont correctement associées au site Web répertorié dans les informations d’identification volées. Hunt n’a pas pu confirmer le mot de passe, car cela l’obligerait à se connecter au compte, ce qui serait illégal.
Source : Troy Hunt
Aucun site n’est concerné
Avec un ensemble de données aussi volumineux, aucun site autorisant les connexions n’est épargné par ces fuites d’informations d’identification, y compris BleepingComputer.
La semaine dernière, les mêmes chercheurs ont partagé avec BleepingComputer une liste d’identifiants volés par des logiciels malveillants voleurs d’informations associés aux forums BleepingComputer.
Ces données sont compilées dans une archive appelée « journal », puis transmises aux serveurs de l’acteur malveillant, où elles sont vendues sur les marchés de cybercriminalité, partagées avec d’autres acteurs malveillants ou utilisées pour pirater les autres comptes d’une victime.
Ce type de malware est généralement distribué via les réseaux sociaux, des logiciels piratés, de faux produits VPN ou simplement via des campagnes par courrier électronique malveillantes envoyées via les sites d’assistance de sociétés de jeux piratés.
Les données partagées avec BleepingCompute incluent le nom d’utilisateur, le mot de passe et l’URL qu’un membre a utilisé pour se connecter à nos forums, qui ont ensuite été enregistrés dans le gestionnaire de mots de passe de son navigateur.
Source : BleepingComputer
Comme vous pouvez le voir sur les URL ci-dessus, de nombreux utilisateurs ont visité BleepingComputer parce qu’ils soupçonnaient que leur ordinateur était infecté, ce que nous savons maintenant être vrai.
BleepingComputer analyse actuellement les données et supprime les doublons afin que nous puissions réinitialiser de manière proactive les mots de passe des membres concernés et les avertir qu’ils ont été infectés à un moment donné par un logiciel malveillant voleur d’informations.
Les utilisateurs infectés par des logiciels malveillants voleurs d’informations devront désormais réinitialiser chaque mot de passe de chaque compte enregistré dans le gestionnaire de mots de passe de leur navigateur et de tout autre site utilisant les mêmes informations d’identification.
Malheureusement, les identifiants volés ne sont généralement pas partagés avec un horodatage indiquant le moment où ils ont été volés. Par conséquent, les utilisateurs concernés doivent considérer que toutes leurs informations d’identification ont été compromises.
Même si cela sera une tâche ardue, ils sauront au moins pourquoi leurs comptes et services ont affiché un comportement étrange au fil des ans.
BleepingComputer est fréquemment contacté par des personnes qui nous disent que leurs comptes sont continuellement piratés, même lorsqu’elles changent sans cesse le mot de passe. Ces personnes signalent constamment un comportement étrange sur leurs appareils ou leurs réseaux, mais aucune infection par un logiciel malveillant n’est jamais détectée.
Les logiciels malveillants voleurs d’informations sont devenus un fléau de la cybersécurité, utilisés par les acteurs malveillants pour mener des attaques massives, telles que des attaques de rançongiciels et de vol de données.
Certaines attaques bien connues causées par le vol d’informations d’identification par des logiciels malveillants voleurs d’informations, notamment des attaques contre le gouvernement du Costa Rica, Microsoft, CircleCi et un compte chez Orange Espagne RIPE qui ont conduit à une mauvaise configuration intentionnelle de BGP.
Plus récemment, des acteurs malveillants ont volé des données des bases de données Snowflake en utilisant ce que l’on pense être des informations d’identification compromises volées à l’aide de logiciels malveillants voleurs d’informations.
Malheureusement, il n’existe pas de solution simple pour empêcher les attaques de vol d’informations, car elles sont peu complexes, ce qui les rend largement répandues à travers une variété d’attaques.
La meilleure défense consiste à adopter de bonnes habitudes de cybersécurité, notamment à ne pas ouvrir de pièces jointes provenant de sources non fiables, à télécharger des logiciels uniquement à partir de sources fiables, à activer les extensions de fichiers dans Windows, à utiliser un logiciel antivirus et à maintenir votre logiciel à jour.