FR
FR EN DE
Accueil | Comprendre le renseignement sur le Dark Web : Comment les cybercriminels partagent leurs informations

Comprendre le renseignement du Dark Web : Comment les cybercriminels partagent leurs informations

Orlaith Traynor

6 min lire - 10 janvier 2024
dark-web-intelligence-cybelangel

Dans ce guide approfondi sur l'intelligence du dark web, nous explorons les principales méthodes utilisées par les cybercriminels pour diffuser des méthodes et des stratégies, comme les forums et les places de marché, ainsi que les canaux de communication tels que Telegram, Discord, Dread Jabber, Tox, Wickr et bien d'autres encore.

Bienvenue dans la deuxième partie de notre série de 5 articles sur la surveillance du dark web. Ce guide s'adresse aux RSSI et à leurs équipes qui cherchent à obtenir rapidement des informations sur le dark web pour 2024. Dans ce guide, nous nous pencherons sur les nouveaux (et anciens) moyens utilisés par les cybercriminels pour partager des informations sur le dark web.

Retrouvez l'intégralité de la série en cinq parties :

L'importance du dark web dans l'échange de renseignements

Le dark web peut être utilisé comme un lieu d'échanges ordinaires, par exemple dans les cas de dissidence politique, ou pour les utilisateurs qui veulent s'assurer une communication privée.

Mais surtout, le dark web est une communauté souterraine florissante pour les cybercriminels.

Des plateformes telles que RECON, Nemesis, Russian Market, Genesis, White House Market, Monopoly, Hydra, Alphabay, Hansa, Dream, etc. ont gagné en notoriété sur le dark web pour cette même raison. Les cybercriminels utilisent également des sites web de surface ou des solutions d'hébergement axées sur la protection de la vie privée, comme I2P, pour partager des informations.

Les nouvelles chaînes gagnent en popularité pour différentes raisons.

Au-delà des drogues

Le dark web est probablement mieux connu en tant que marché de la drogue et chaîne d'approvisionnement pour les ventes de produits pharmaceutiques sur le marché noir ou d'autres marchandises illégales telles que les armes.

Cependant, il existe d'autres façons fondamentales de l'utiliser par les acteurs de la menace :

  • Ventes de cartes de paiement à grande échelle (des millions de cartes)
  • "Fullz"ou des packs d'identité complets en cas d'usurpation d'identité
  • Fournitures/outils de commettre des actes de cybercriminalité
  • Cybercrime en tant que service est proposé par des pirates et des cybercriminels expérimentés
  • Logiciels malveillants en tant que service où des gangs de ransomware ou des individus cherchent à vendre les données divulguées

Il s'agit bien entendu d'une liste non exhaustive.

Chez CybelAngel, nous partageons avec nos clients des notes approfondies sur les menaces préparées par notre équipe d'experts REACT afin de fournir des profils contextualisés sur les acteurs de la menace, y compris les communautés émergentes du dark web..

Découvrez comment les cybercriminels communiquent sur le dark web (et en dehors)

Le dark web, tout bien considéré, est un nom approprié pour les réseaux de distribution d'informations qui y existent.

Son ampleur peut susciter de nombreuses questions, en particulier pour les non-professionnels de la cybernétique qui veulent savoir si les données peuvent être contrôlées, si elles ont été divulguées sur le dark web.

Voici un aperçu de ce qu'il est important de savoir.

Comment les cybercriminels et les gangs de ransomware communiquent-ils ?

Nous avons brièvement mentionné que des forums et des places de marché spécifiques comme RECON, Nemesis, Russian Market, Genesis et White House Market aident les cybercriminels à rester dans le coup.

Mais quelles sont les différences et quelles formes d'intelligence sont partagées sur chacun d'entre eux ?

Examinons tout d'abord les différences entre les deux principaux éléments du dark web.

Quelles sont les différences ? Les forums et les marchés du web sombre ?

Places de marché cybercriminelles s'apparentent généralement à des sites de commerce électronique sur l'internet, où les acheteurs peuvent évaluer les vendeurs, les sites disposent généralement d'un système de dépôt fiduciaire et reflètent les places de marché typiques que l'on trouve sur l'internet.

Forums sont plus axés sur la discussion (Il convient toutefois de noter que les forums sont également utilisés comme des places de marché, où les discussions se déroulent sous forme de messages privés et où les paiements peuvent être effectués par le biais d'un système de dépôt fiduciaire.). Les forums sont des lieux où les cybercriminels se rendent généralement pour discuter des vulnérabilités et partager leur sagesse, leurs tactiques et leurs techniques. Ils se prêtent également à des discussions communautaires, allant de la vente d'informations personnelles identifiables et d'identifiants de connexion à des évaluations et des secrets d'entreprise.

La principale différence entre les places de marché et les forums est que les places de marché sont automatiques.

L'anonymat des hackers est-il garanti sur les forums du dark web ?

Oui, pour la plupart.

C'est un élément essentiel de leur attrait.

Selon un Rapport de la CISA (Cybersecurity and Infrastructure Security Agency), il existe plusieurs barrières à l'entrée des forums et des places de marché sur le dark web afin de s'assurer que les membres sont des pirates légitimes.

Ces critères peuvent inclure

  • Communautés sur invitation seulement
  • L'entrée n'est possible que sur la base de la nationalité ou de l'alignement politique.
  • L'entrée est accélérée avec le paiement
  • L'attestation est une étape nécessaire à l'entrée sur le marché
  • Les pirates informatiques peuvent être invités à prouver les cybercrimes qu'ils ont commis

Toutefois, les forums sont particulièrement menacés par les forces de l'ordre. Examinons maintenant les différentes plateformes qui existent en dehors du dark web et qui offrent des options étendues en matière de protection de la vie privée.

Existe-t-il d'autres plateformes d'échange d'informations ?

Oui, il y en a plusieurs qui offrent plus de commodité aux acteurs de la menace.

Télégramme est une application de messagerie cryptée de bout en bout, basée sur le cloud et appartenant à des Russes. Elle est réputée pour ses fonctionnalités importantes en matière de protection de la vie privée, telles que les conversations secrètes et l'option d'autodestruction des messages. Les fonctionnalités de Telegram politique de confidentialité souligne que "Si Telegram reçoit une décision de justice confirmant que vous êtes soupçonné de terrorisme, nous pouvons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes.. Jusqu'à présent, cela ne s'est jamais produit."

Discord est une application de chat vocal, vidéo et textuel utilisée par des millions de personnes et appréciée des cybercriminels, comme un canal de discussion où les utilisateurs peuvent se pousser pour parler dans des salles privées. En tant que canal de jeu populaire, il est largement utilisé par des acteurs peu qualifiés, mais il est également utilisé par des cybercriminels plus sophistiqués pour exploiter les vulnérabilités par le biais du phishing, de la distribution de logiciels malveillants et bien d'autres choses encore. Les caractéristiques de Discord politique de confidentialité est moins libérale que celle de Telegram et déclare que "Discord fournit des informations sur les utilisateurs aux autorités chargées de l'application de la loi lorsque nous recevons une procédure légale exécutoire.."

La hantise est la version Tor ou le forum du web profond qui ressemble à Reddit (il n'est pas affilié à Reddit). Il s'agit d'une plateforme populaire du dark web qui propose un large éventail de communautés et de discussions, y compris celles liées à la cybercriminalité. La capture d'écran ci-dessous montre un exemple de message posté par les autorités allemandes après la saisie de la place de marché Kingdom Market sur le dark web.

Jabber est une application autrichienne pour ordinateur et mobile qui vous permet de passer, de recevoir et de gérer des appels sur le poste téléphonique de votre université. Elle vous permet également de consulter la messagerie vocale et d'accéder à d'autres services vocaux. Elle bénéficie de lois strictes en matière de protection de la vie privée, basées sur la localisation de son QG. Il est déclaration de confidentialité confirme que "L'Autriche n'a actuellement aucun lois sur la conservation des données. Il serait illégal pour nous de conserver des données plus longtemps que ce qui est directement nécessaire à la gestion de ce service. En Autriche, un tribunal peut nous ordonner de coopérer avec les forces de l'ordre dans le cadre d'une enquête criminelle. Une telle ordonnance n'est possible que si l'infraction pénale présumée est passible d'une peine d'emprisonnement d'au moins un an."

Tox est un protocole de messagerie sécurisée et d'appel vidéo qui permet une communication directe avec cryptage. Cependant, il offre moins de marge de manœuvre que les autres concurrents de cette liste. Elle a confirmé que, dans le cadre de son politique de confidentialité que "dans certains cas, nous sommes légalement tenus de transmettre vos données sur ordre officiel, dans la mesure où cela est nécessaire à des fins de poursuites pénales ou pour prévenir un danger par la police ou d'autres autorités."

Wickr est une société américaine de logiciels (rachetée par Amazon en 2021) qui propose une application de messagerie instantanée permettant aux utilisateurs de partager des messages cryptés de bout en bout et dont le contenu expire. Là encore, elle ne garantit pas un niveau de confidentialité des données comparable à celui de Telegram. Son centre d'assistance États que "Wickr s'engage à opérer dans un environnement de transparence totale et à coopérer avec les forces de l'ordre tout en respectant le droit à la vie privée de chacun.."

La capture d'écran ci-dessus montre un exemple de message posté par les autorités allemandes sur Dread après leur saisie de la place de marché "Kingdom Market" sur le dark web.

L'année dernière des preuves de plus en plus nombreuses a suggéré que Telegram était un favori concret pour les cybercriminels qui échangent et partagent des vulnérabilités lorsqu'ils planifient des cyberattaques.

Pourquoi les cybercriminels sont-ils de plus en plus nombreux à échanger des informations avant les violations de données ?

Y a-t-il une méthode à leur folie ?

Oui, absolument.

En général, la planification et la préparation sont précises. Les canaux Telegram personnalisés et cryptés sont populaires pour les attaques à grande échelle. Les cybercriminels ont la possibilité d'échanger des messages individuellement ou en groupe, ainsi que d'envoyer ou de recevoir des fichiers de données volumineux en toute tranquillité.

Des rapports comme le Lancope-Ponemon "Réponse aux incidents de cybersécurité" et le rapport d'IBM "Rapport sur le coût d'une violation de données 2023L'article "cyber-attaques" montre que les cyber-attaques constituent aujourd'hui un modèle d'entreprise à part entière.

Il est donc logique qu'elles soient de plus en plus minutieusement planifiées et soutenues par des renseignements communautaires partagés.

Les données d'IBM montrent que le coût moyen des violations de données à l'échelle mondiale continue d'augmenter (en 2023, il a augmenté de 15% pour atteindre $4,45M USD par rapport à 2020).

Quelle est la meilleure stratégie à adopter en cas de fuite de données sur le dark web ?

Nous avons créé un guide complet sur la réponse aux incidents pour répondre à cette question. lire ici. Il s'agit d'une violation de fournisseur, mais la même logique s'applique à toutes les violations de données.

Conclusion : 4 points clés à retenir

Voici un récapitulatif rapide des principales informations à connaître.

1: Le dark web est une communauté souterraine florissante pour les cybercriminels: Les forums comme Dread ont acquis une certaine notoriété sur le dark web en facilitant l'obtention de renseignements par les cybercriminels.

2: Les cybercriminels communiquent par le biais de forums et de places de marché: Les différentes plateformes du dark web ont des objectifs différents. Les places de marché cybercriminelles fonctionnent comme des sites de commerce électronique où les acheteurs évaluent les vendeurs, tandis que les forums servent de plateformes de discussion où les cybercriminels échangent des tactiques, des techniques et des vulnérabilités. Ces plateformes offrent l'anonymat par le biais de divers mécanismes tels que les communautés sur invitation et la caution.

3: Plateformes supplémentaires en dehors du dark web pour l'échange de renseignements : Telegram, Discord, Reddit, Jabber, Tox, Wickr, etc. sont des plateformes couramment utilisées par les cybercriminels pour communiquer et réaliser des escroqueries. Les niveaux de confidentialité et de coopération avec les forces de l'ordre varient d'une plateforme à l'autre, certaines étant plus sûres et d'autres plus susceptibles d'être surveillées.

4: Les cybercriminels échangent des renseignements pour soutenir des attaques minutieusement planifiées: Le partage de renseignements sur les violations de données et les cyberattaques est devenu essentiel pour permettre aux cybercriminels d'exécuter leurs attaques plus efficacement. Les coûts moyens des violations de données augmentant, les cybercriminels s'appuient sur les renseignements de la communauté pour planifier et soutenir leurs attaques afin d'en maximiser l'effet.

C'est tout pour ce blog sur le dark web.

Restez informé et suivez notre série de surveillance du dark web via notre blog et nos canaux sociaux. Suivez-nous sur LinkedIn et Twitter pour consulter tous les nouveaux contenus de cette série.