Ces plateformes s’inspirent de la manière dont elles sont conçues et commercialisées pour s’inspirer des services d’information et de commerce électronique légitimes. De nombreux marchés et forums facturent des frais d’abonnement pour accéder à la plateforme et appliquent ensuite des structures de tarification différentes pour les données en fonction de leur valeur potentielle. Actuellement, explique Gray, Russian Market dispose de tellement de données volées par des voleurs d’informations qu’il facture un tarif forfaitaire bas, généralement pas plus de 10 dollars, pour tout sous-ensemble de données que les utilisateurs souhaitent télécharger.
« Les entreprises sont devenues très performantes en matière de sécurité et les utilisateurs sont également devenus plus avertis. Ils ne constituent donc plus les meilleures cibles pour les attaques traditionnelles sur mesure », explique Gray. « Les attaquants ont donc besoin d’une solution moins ciblée et davantage axée sur ce qu’ils peuvent exploiter. Les infostealers sont modulaires et souvent vendus sur la base d’un abonnement, et cette évolution s’aligne probablement sur l’essor des services d’abonnement modernes comme le streaming vidéo. »
Les voleurs d’informations se sont révélés particulièrement efficaces avec l’essor du travail à distance et du travail hybride, les entreprises s’adaptant pour permettre aux employés d’accéder aux services professionnels à partir d’appareils personnels et aux comptes personnels à partir d’appareils professionnels. Cela crée des opportunités pour les voleurs d’informations de compromettre de manière aléatoire des individus sur, par exemple, leurs ordinateurs personnels, tout en se retrouvant avec les identifiants d’accès de l’entreprise parce que la personne était également connectée à certains de leurs systèmes de travail. Cela permet également aux logiciels malveillants de vol d’informations de contourner plus facilement les protections des entreprises, même sur les appareils de l’entreprise, si les employés peuvent avoir leurs comptes de messagerie ou de réseaux sociaux personnels ouverts.
« J'ai commencé à y prêter attention lorsque c'est devenu un problème d'entreprise », explique Carmakal de Mandiant. « Et particulièrement vers 2020, car j'ai commencé à voir davantage d'intrusions dans les entreprises, en commençant par des compromissions sur des ordinateurs personnels, par le biais de phishing de comptes Yahoo, Gmail et Hotmail, qui n'avaient aucun rapport avec un quelconque ciblage d'entreprise, mais qui me semblent très opportunistes. »
Victoria Kivilevich, directrice de la recherche sur les menaces au sein de la société de sécurité KELA, explique que dans certains cas, les criminels peuvent utiliser les marchés de la cybercriminalité pour rechercher le domaine de cibles potentielles et voir si des informations d’identification sont disponibles. Kivilevich explique que la vente de données de voleurs d’informations peut être considérée comme la « chaîne d’approvisionnement » de divers types de cyberattaques, notamment les opérateurs de ransomware à la recherche des informations sur les victimes potentielles, les personnes impliquées dans la compromission des e-mails professionnels et même les courtiers d’accès initiaux qui peuvent revendre les informations à d’autres cybercriminels.
Selon Kivilevich, plus de 7 000 identifiants compromis liés à des comptes Snowflake ont été partagés sur plusieurs plateformes de cybercriminalité et sur Telegram. Dans un cas, un criminel a vendu l'accès à 41 entreprises du secteur de l'éducation ; un autre cybercriminel prétend vendre l'accès à des entreprises américaines dont le chiffre d'affaires se situe entre 50 millions et 8 milliards de dollars, selon l'analyse de Kivilevich.
« Je ne pense pas qu'une seule entreprise soit venue nous voir et n'ait eu aucun compte compromis par un logiciel malveillant de vol d'informations », déclare Kivilevich à propos de la menace que représentent les journaux de vol d'informations pour les entreprises, KELA affirmant que l'activité liée au vol d'informations a augmenté en 2023. Irina Nesterovsky, directrice de la recherche chez KELA, affirme que des millions d'identifiants ont été collectés par des logiciels malveillants de vol d'informations ces dernières années. « C'est une menace réelle », déclare Nesterovsky.
Selon Carmakal, les entreprises et les particuliers peuvent prendre plusieurs mesures pour se protéger contre la menace des voleurs d’informations et leurs conséquences, notamment en utilisant des antivirus ou des produits EDR pour détecter les activités malveillantes. Les entreprises doivent être strictes quant à l’application de l’authentification multifacteur à leurs utilisateurs, dit-il. « Nous essayons d’encourager les gens à ne pas synchroniser les mots de passe de leurs appareils professionnels avec leurs appareils personnels », ajoute Carmakal.
L’utilisation des voleurs d’informations a tellement bien fonctionné qu’il est presque inévitable que les cybercriminels cherchent à reproduire le succès des compromissions comme Snowflake et fassent preuve de créativité pour trouver d’autres services logiciels d’entreprise qu’ils peuvent utiliser comme points d’entrée pour accéder à un éventail d’entreprises clientes différentes. Carmakal prévient qu’il s’attend à ce que cela se traduise par davantage de violations dans les mois à venir. « Il n’y a aucune ambiguïté à ce sujet », dit-il. « Les acteurs malveillants commenceront à chasser les journaux des voleurs d’informations et à rechercher d’autres fournisseurs SaaS, similaires à Snowflake, auprès desquels ils se connectent et volent des données, puis extorquent ces entreprises. »