L’une des plus anciennes villes de Russie est Samara, une ville d’un peu plus d’un million d’habitants, ce qui en fait la neuvième plus grande ville de Russie. Il se trouve également qu’il s’agit d’un centre pour l’aérospatiale et l’aviation russes, ce qui signifie qu’il y a beaucoup de talents autour, dont un certain nombre ne peuvent pas trouver de travail et finissent par basculer du côté obscur – le piratage. Il se trouve que Samara est l’un des principaux centres au monde pour le carding, une technique de piratage à l’ancienne qui consiste à utiliser la carte de crédit de quelqu’un d’autre pour acheter des choses avec. L’argent qui peut être gagné en tant que pirate informatique à succès éclipse tout salaire d’entreprise d’entrée de gamme, et pour beaucoup, c’est une offre difficile à refuser.
Dans un article récent, nous avons plongé la tête la première dans le travail fascinant effectué par un groupe d’élite d’experts en cybercriminalité, Group-IB, qui traque et aide à poursuivre les groupes de pirates informatiques les plus notoires au monde. En conséquence, l’entreprise a amassé une grande quantité d’informations sur le monde du piratage informatique qui est d’une grande valeur pour contrecarrer de futures attaques. Il s’agit d’un domaine de la cybersécurité connu sous le nom de « renseignement sur les menaces », et c’est l’épine dorsale de la puissante suite de produits de Group-IB.
À propos de Group-IB
Si vous ne savez pas qui est Group-IB, lisez notre article précédent sur l’unité de lutte contre la cybercriminalité la plus élite au monde. Depuis 2003, la société a amassé des informations sur ce qui se passe dans le monde obscur du piratage contraire à l’éthique. Nous nous sommes entretenus avec le responsable de la R&D de Group-IB, Aleksandr Lazarenko, pour discuter de la façon dont les renseignements sur les menaces sont un élément essentiel de la prévention des attaques de piratage qui peuvent entraîner la perte de milliards de dollars. La première question que nous nous sommes posée est la suivante : qu’est-ce que le renseignement sur les menaces ?
D’une manière générale, les renseignements sur les menaces sont toutes les informations qui peuvent être utilisées pour décrire les menaces malveillantes provenant de pirates. Group-IB a commencé comme une entreprise qui enquêtait sur la cybercriminalité et fournissait des services de criminalistique numérique. Leur Cordinateur Eurgence Rrépondre Team (CERT-GIB) traite un large éventail d’attaques ciblées complexes : celles impliquant l’utilisation de techniques sophistiquées pour contourner les systèmes de protection, les infections par malware, les attaques de phishing, les intrusions réseau. Grâce à l’activité CERT-GIB 24/7, l’entreprise obtient régulièrement des connaissances uniques sur les techniques et le comportement des cyber-méchants les plus avancés dans la nature plutôt que de simples signatures numériques. Ces connaissances alimentent les systèmes complets de prévention et de surveillance de la cybercriminalité de l’entreprise.
Aux premiers stades de l’existence de l’entreprise, Group-IB s’est principalement concentré sur la fourniture de services, en particulier les cyber-enquêtes en criminalistique numérique, y compris l’analyse dynamique des logiciels malveillants qui a permis de rassembler une collection de données de renseignements sur les menaces sur les attaquants. En 2010, de plus en plus souvent, lors des activités de réponse aux incidents partout dans le monde, les experts de l’entreprise ont détecté des postes de travail infectés avec un logiciel antivirus installé, contourné avec succès par les acteurs de la menace. Il est devenu évident que les grandes entreprises internationales dépensaient beaucoup d’argent pour des solutions inefficaces incapables de protéger leur infrastructure. Les technologies utilisées par les entreprises attaquées pour se protéger se sont avérées hors de propos face aux vecteurs d’attaque et aux outils utilisés par les cybercriminels. C’est pourquoi l’entreprise a décidé de convertir ses connaissances uniques en produits qui permettent aux entreprises de se protéger des cybermenaces qui les concernent, tout en tenant compte des spécificités de leur secteur et de leur situation géographique.
Examinons certains de ces produits en commençant par les renseignements et la détection des menaces.
Intelligence et détection des menaces
Détection proactive des menaces
Les entreprises à la recherche de services de renseignement sur les menaces craignent généralement que quelque chose de mauvais se passe déjà dans leur organisation. N’est-il pas plus logique pour les experts d’identifier les attaques au fur et à mesure qu’elles ont lieu ? C’est ce que fait Group-IB. Ils peuvent identifier qui attaque votre entreprise et d’autres entreprises de votre secteur. Les outils, tactiques et procédures utilisés par les pirates peuvent aider à indiquer quels membres de votre personnel ont déjà été victimes d’une attaque. Ils peuvent même découvrir ce qui se dit sur votre entreprise dans les salons de discussion clandestins des pirates informatiques. M. Lazarenko nous a raconté comment ils ont contacté une très grande banque avec des informations sur une attaque en cours pour être ignorés. Quelques jours plus tard, ladite banque demandait de l’aide à Group-IB car ils avaient effectivement été piratés.
Afin de surveiller activement les menaces à grande échelle, Group-IB se tourne vers l’automatisation.
Intelligence automatisée sur les menaces
Si vous ne connaissez pas vos ennemis, comment pouvez-vous les combattre ? Gardant cette question à l’esprit, en 2010-2011, l’entreprise a décidé de convertir sa connaissance des adversaires en son produit phare Group-IB Threat Intelligence – un système qui comprend la nature même des différentes cybermenaces et prédit leur évolution. Pour permettre à ses clients d’être toujours à quelques pas des cybercriminels et de prévenir les attaques à un stade précoce, Group-IB a créé un écosystème, qui permet de rechercher de manière approfondie les techniques des acteurs de la menace, exposant infrastructure des adversaires au stade de la préparation des attaques et en attribuant les menaces à des acteurs particuliers et en en identifiant de nouveaux.
Le système est constamment enrichi des données propriétaires des entreprises provenant de différentes sources : réponse aux incidents et cyber-enquêtes, indicateurs techniques des propres capteurs de l’entreprise installés partout dans le monde, pots de miel, pièges à spam, points de collecte de phishing, vérificateurs de données compromis et informations recueillies auprès de des forums Web sombres et des magasins de cartes utilisant les outils de surveillance et d’analyse uniques de Group-IB, ainsi que des données sur les menaces open source.
La collecte proactive de données de renseignements sur les menaces permet à Group-IB de déjouer les attaques avant qu’elles ne se produisent. La même méthode de surveillance automatisée peut également être utilisée pour déjouer le « P » dans « HPAVC ».
Anti-piratage et protection de la marque
Le piratage numérique mondial coûte à l’industrie américaine du cinéma et de la télévision environ 29,2 milliards de dollars par an avec 230 000 emplois perdus en conséquence. Ensuite, il y a le piratage des enregistrements sonores qui coûte à l’économie américaine 12,5 milliards de dollars de la production totale et entraîne la perte de 71 060 emplois. Si vous êtes une entreprise avec des produits numériques, vous devriez avoir des yeux sur les endroits où les pirates distribuent leurs warez. C’est là que Group-IB peut vous aider. Leur équipe surveille plus de 3 millions de lieux de trafic de warez, 24 heures sur 24, 7 jours sur 7, avec 20 000 violations éliminées par jour.
En moyenne, il faut 30 minutes pour identifier la première copie piratée qui apparaît sur Internet et 80% des liens sont supprimés en une semaine. Semblable à la startup espagnole Red Points, la majorité de ces suppressions ne nécessitent pas de poursuites judiciaires. Tous les drogués de Game of Thrones seront ravi déçu d’apprendre que Group-IB était responsable du blocage plus de 43 000 liens aux copies piratées de GoT Saison 8 sur des sites Web pirates, des forums et des réseaux sociaux.
La plupart des contrevenants suivent les exigences d’une entreprise qui a poursuivi avec succès des dizaines de contrevenants et qui collabore avec des organismes internationaux chargés de l’application des lois comme Interpol et Europol.
Banque sécurisée
Comme indiqué dans notre précédent article sur Group-IB, leurs experts affirment que plus de 90 % de tous les cybercrimes dans le monde impliquent désormais le vol d’argent. Les pirates gravitent là où se trouve l’argent et, par conséquent, une grande partie de l’offre de sécurité de Group-IB consiste à protéger plus de 100 millions de clients bancaires en surveillant chaque jour 16 millions de sessions bancaires en ligne.
Ceci est un autre exemple de l’approche non standard de Group-IB pour la résolution de problèmes de routine. La plupart des banques utilisent des solutions de prévention de la fraude transactionnelle qui sont efficaces pour arrêter les mauvaises transactions. Mais, apparemment, cela ne suffit pas. Group-IB se distingue par sa logique adaptative unique pour corréler les données sur le comportement des utilisateurs sur leurs appareils, lorsqu’ils interagissent avec leur banque via différents canaux.
La solution, Secure Bank, est une pile complète de technologies anti-fraude qui surveille le comportement des utilisateurs en temps réel. Également appelée « bio-chronométrie », c’est un sujet fascinant que nous avons déjà abordé et qui implique le suivi d’éléments tels que les mouvements de la souris, les frappes, la cadence de frappe et les retards pour voir si c’est vraiment vous derrière le clavier. Ces informations sont enrichies de données exclusives Group-IB Threat Intelligence sur les acteurs de la menace, les renseignements sur les logiciels malveillants, les adresses IP malveillantes et les données compromises. Une telle technologie permet à la banque de remarquer immédiatement si une autre personne ou un bot a soudainement commencé à interagir avec le clavier lors d’une session bancaire en ligne.
En plus de s’assurer que les utilisateurs sont bien ceux qu’ils prétendent être, Secure Bank propose également de nombreux autres services tels que l’identification des activités malveillantes sur PC et mobiles, l’ingénierie sociale et les attaques cross-canal ou la présence de logiciels d’accès à distance légitimes sur l’appareil d’un utilisateur, en surveillant les transactions pouvant être liées au blanchiment d’argent et contribuant à la protection contre les injections Web, etc.
Portail sécurisé
Group-IB offre la sécurité des données et la protection contre la fraude pour les sites Web, le commerce électronique et les services d’abonnement payant dans le cadre de son offre « Secure Portal » qui peut être personnalisée selon l’industrie. De l’aide à la reconnaissance des fausses déclarations d’assurance à la protection de vos actifs cryptographiques qui ne vaudront bientôt plus rien, Group-IB utilise ses informations sur les menaces pour identifier les menaces et les fraudes spécifiques à l’industrie.
La solution se présente sous la forme d’un module qui s’exécute de manière transparente en tant qu’extrait de code JavaScript sur vos pages Web ou en tant que SDK dans votre application mobile. Les indicateurs et le contexte des activités frauduleuses détectées par Secure Portal sont transférés en temps réel aux analystes de Group-IB qui peuvent prendre des mesures immédiates pour contrecarrer tout type d’attaque que vous pourriez subir.
Conclusion
Le piratage était un métier romantique qui attirait des gens brillants qui voulaient montrer leurs talents et se faire une réputation parmi les autres pirates. La plupart n’étaient pas intéressés par le gain financier, alors cela a changé. Maintenant, nous sommes entrés dans une autre transition. L’objectif des innovations et de la recherche concernant la création de logiciels malveillants complexes et l’organisation d’attaques ciblées multicouches est passé des cybercriminels à motivation financière aux acteurs de la menace parrainés par l’État.
Selon le rapport annuel « Hi-Tech Crime Trends 2019/2020 » de Group-IB présenté il n’y a pas si longtemps à Singapour, 38 acteurs différents parrainés par l’État étaient actifs au cours du S2 2018 au S1 2019, dont sept nouveaux.
« 2019 est devenue l’année des opérations militaires secrètes dans le cyberespace. Les conflits entre États ont pris de nouvelles formes et les cyberactivités jouent un rôle de premier plan dans ce dialogue destructeur. Les groupes agissant dans l’intérêt national passent inaperçus pendant de nombreuses années. Seuls quelques incidents de ce type sont connus, mais la plupart indiquent que l’infrastructure critique de nombreux pays a déjà été compromise. Cela signifie qu’une existence paisible n’est plus possible en étant déconnecté de la cybersécurité. », déclare Dmitry Volkov, CTO de Group-IB.
Vous devriez toujours avoir peur des gens qui n’ont rien à perdre, et il en va de même pour les talents dans des endroits comme Samara où il n’y a pas d’endroit où aller. Être un hacker à succès vient désormais avec plus que du prestige. C’est pourquoi les sociétés de chasse aux menaces et de renseignement comme Group-IB ramènent le combat à la source.
Allons-nous enfin ouvrir une position dans l’ETF Global X Cybersecurity ? Ou sommes-nous allés tous héros ou zéro sur CrowdStrike? Devenez abonné Nanalyze Premium et découvrez-le.