Trend Micro Research découvre que des serveurs locaux et dans le cloud sont infiltrés par la pègre criminelle.

La connaissance de l'infrastructure cybercriminalité contribue à détecter et à bloquer leurs activités Malines — Trend Micro, leader mondial en solutions de cybersécurité, présente aujourd'hui une étude qui montre que les serveurs on-premises et cloud-based sont compromis, abusés et loués dans le cadre d'un réseau criminel sophistiqué qui génère des revenus importants.

Cette étude fait partie d’un rapport en trois volets qui tente de cartographier l’ampleur du marché de l’hébergement parallèle. L’une de ses principales conclusions est que l’activité de cryptomining devrait toujours être considérée comme un indicateur pour mettre en alerte la vigilance des équipes IT. Bien que le phénomène de cryptomining en soi ne provoque ni chamboulement ni pertes financières, les logiciels de mining sont souvent exploités par des cybercriminels afin de gagner de l’argent sur des serveurs inactifs qu’ils ont piratés. Cette activité n’est toutefois que l’annonce d’autres encore plus nuisibles, comme le vol de données sensibles, la vente de l’accès aux serveurs pour d’autres abus ou la préparation d’une attaque de rançonnage ciblée. Tous les serveurs sur lesquels sont détectées des activités de cryptomining devraient dès lors être examinés dans les plus brefs délais et réinitialisés.

« L’univers parallèle et souterrain des cybercriminels a recours à de nombreuses possibilités matérielles pour générer des revenus : songeons par exemple au bulletproof hosting, aux services anonymisés, au provisioning de noms de domaines et à la menace d’actifs légitimes », assure Bob McArdle, Director of Forward-Looking Threat Research chez Trend Micro. « Notre objectif consiste à susciter la compréhension et une prise de conscience de l’infrastructure des cybercriminels afin d’aider la police et la Justice, les clients et d’autres chercheurs à bloquer leurs activités et à en augmenter les coûts de revient. »

Le rapport nomme les principaux services d’hébergement parallèle aujourd’hui disponibles et cite des détails techniques sur la méthode de travail des cybercriminels. Cela inclut une description détaillée du cycle de vie typique d’un serveur compromis, de la première à la dernière attaque. L’étude constate que les risques d’être piraté et exploité dans l’infrastructure d’hébergement souterraine concernent surtout les serveurs sur le cloud, parce qu’il leur manque souvent le niveau de protection dont bénéficient leurs équivalents locaux.

McArdle de poursuivre : « Les actifs légitimes d’entreprises qui ont été piratés peuvent faire l’objet d’infiltrations ou d’abus, qu’ils soient sur site ou sur le cloud. Pourtant, une simple règle de base souligne que ce qui est potentiellement le plus exposé sera probablement à la source des plus nombreux abus. »

Les cybercriminels tentent de profiter des vulnérabilités des logiciels de serveurs et de lancer de violentes attaques afin de porter un coup aux données d’identifiants, de voler des logins et de recourir à des malwares par des tentatives d’hameçonnage. Ils pourraient même axer leurs efforts sur un logiciel de gestion d’infrastructures (cloud API keys), ce qui leur donnerait la possibilité de créer de nouvelles machines virtuelles. Une fois piratés, les actifs du serveur sur cloud peuvent être revendus dans des forums souterrains, sur des marchés spécifiques, voire sur les réseaux sociaux conventionnels, en vue d’être utilisés pour différentes sortes d’attaques.

Le rapport traite aussi des nouvelles tendances dans le monde des services de l’infrastructure souterraine, dont l’abus de téléservices et d’infrastructures satellites ainsi que de computing « parasite » qui peuvent être loués, y compris des RDP et VNC masqués.

Cliquez-ici pour prendre connaissance du second rapport complet dans cette série.