Les chercheurs sur les ransomwares sont ciblés par les criminels qu’ils traquent
Les chercheurs en sécurité qui enquêtent sur les gangs de rançongiciels sont ciblés par les criminels qu’ils traquent. Un pirate informatique, considéré comme un membre du célèbre gang de cybercriminalité russe REvil, a utilisé une demande de données d’urgence frauduleuse (EDR), un type d’assignation à comparaître déployée par les forces de l’ordre américaines, pour obtenir des informations de Twitter sur les analystes de la cybersécurité, avant de menacer les chercheurs et Leurs familles.
Les EDR peuvent être obtenus avec peu de contrôle, ce qui en fait des véhicules parfaits pour les attaques d’ingénierie sociale. Une législation a été rédigée qui pourrait exiger que les demandes soient accompagnées d’une signature numérique, ce qui les rend plus difficiles à falsifier.
Qu’est-ce qu’une demande de données d’urgence ?
Un EDR permet aux forces de l’ordre américaines d’exiger unilatéralement des informations d’une organisation en cas d’urgence vitale ou mortelle. Cela signifie qu’ils peuvent contourner le protocole d’obtention d’informations sur le propriétaire d’un compte à partir d’une plate-forme de médias sociaux, ce qui implique généralement l’obtention d’un mandat de justice ou d’une assignation complète.
Parce que les demandes peuvent être faites par les agences elles-mêmes sans aucun contrôle, elles constituent un outil utile pour l’ingénierie sociale. De nombreuses entreprises comme Twitter ont un processus simplifié où elles publient des fax ou des informations de contact pour que la police obtienne un accès d’urgence aux données, a déclaré l’ancien procureur du ministère américain de la Justice, Mark Rasch. KrebsonSécurité blog plus tôt cette année. Mais il n’y a pas de véritable mécanisme défini par la plupart des fournisseurs de services Internet ou des entreprises de technologie pour tester la validité d’un mandat de perquisition ou d’une citation à comparaître. Et tant que ça semble correct, ils s’y conformeront,
Les faux EDR réussis sont souvent envoyés à partir de comptes de messagerie officiels qui ont été piratés, explique Louise Ferret, chercheuse à la plate-forme de sécurité Searchlight Security. Vous avez besoin d’un e-mail du gouvernement américain ou des forces de l’ordre américaines, dit-elle. Il existe plus de 18 000 juridictions policières aux États-Unis, dont beaucoup ont été violées par des pirates. Au niveau fédéral, l’année dernière, le serveur de messagerie du FBI a été piraté et la cybersécurité dans les départements du gouvernement américain a été critiquée comme inadéquate par les auditeurs.
Comment les EDR sont-ils utilisés pour cibler les chercheurs en sécurité
Bien que ces tactiques aient déjà été utilisées par des pirates ciblant d’autres cybercriminels, elles sont maintenant déployées contre des chercheurs de rançongiciels pour les intimider hors ligne. Un de ces criminels, connu en ligne sous le nom de shérif et considéré comme Aleksandr Sikerin, membre du REvilont utilisé ces tactiques contre trois chercheurs au cours du mois dernier, en utilisant de faux EDR pour obtenir des informations de contact sur des cibles et leur envoyer des e-mails abusifs et menaçants.
Contenu de nos partenaires
L’un des chercheurs, connu en ligne sous le nom de Contestation, a détaillé son expérience dans un blog, qui explique qu’à un moment donné, elle a reçu un message la menaçant du même sort que le journaliste saoudien assassiné Jamal Khashoggi : Tu finiras comme Jamal, lit-on dans le message. Je vais personnellement vous nourrir à votre famille.
Le shérif et un autre hacker connu sous le nom de RichTheKid se sont vantés sur le forum de piratage enfreint.co d’avoir déposé 20 faux EDR sur Twitter pour un audit IP, des e-mails et des informations téléphoniques sur les chercheurs en sécurité. Sheriff a depuis été banni du forum.
Faux EDR : une tactique de plus en plus populaire
L’utilisation de faux EDR pour obtenir des informations est une tactique de plus en plus populaire pour les pirates, explique Ferrett. Cela semble être une tactique préexistante qui a été utilisée assez généreusement dans le passé dans le milieu de la cybercriminalité, mais plus généralement dans le cadre d’une opération de piratage afin d’obtenir ce type de données client sensibles, ou par des cybercriminels contre leurs rivaux en tant que signifie les doxer, les harceler ou même les intimider pour qu’ils continuent à travailler pour eux, dit-elle. Doxxing est une pratique où les informations personnelles de quelqu’un sont publiées ou partagées en ligne de manière malveillante.
Les acteurs de la menace utilisent désormais ce type de tactiques low-tech contre ceux qui enquêtent et exposent leurs activités illégales, ajoute Ferrett. Et Twitter est une cible facile car c’est là que se rassemblent de nombreux chercheurs.
Twitter n’a pas été disponible avec son processus de vérification des EDR. La nature des demandes signifie qu’elles doivent être traitées rapidement, ce qui signifie que les employés peuvent potentiellement avoir le choix de prendre le temps de vérifier correctement et de risquer qu’une personne soit gravement blessée ou tuée, ou de divulguer rapidement des informations avec moins de contrôle.
Twitter déclare dans son politique de confidentialité que nous pouvons divulguer des informations de compte aux forces de l’ordre en réponse à une demande de divulgation d’urgence valide. Twitter évalue les demandes de divulgation d’urgence au cas par cas conformément à la loi applicable. L’entreprise n’a pas répondu aux questions de Moniteur technique au moment de la rédaction.
La plate-forme de médias sociaux rivale Facebook a reçu 21 700 demandes d’urgence dans le monde de janvier à juin 2021 et a fourni des données en réponse à 77 % des demandes.
Que fait-on pour lutter contre les faux EDR ?
Une législation visant à lutter contre l’utilisation frauduleuse des EDR pourrait voir le jour. Le sénateur démocrate Ron Wyden a élaboré une proposition, le projet de loi sur l’authenticité numérique des ordonnances judiciaires. La proposition, qui bénéficie d’un soutien bipartisan, a été présentée pour la première fois l’année dernière et exigerait, entre autres, que les EDR et les commandes similaires soient accompagnées d’une signature numérique pour prouver l’authenticité.
Personne ne veut que les entreprises technologiques refusent les demandes d’urgence légitimes lorsque la sécurité de quelqu’un est en jeu, mais le système actuel présente des faiblesses évidentes qui doivent être corrigées, a déclaré Wylden. Les demandes frauduleuses du gouvernement sont une préoccupation importante, c’est pourquoi j’ai déjà rédigé une législation pour éradiquer les mandats et les assignations à comparaître falsifiés.
Ferrett dit que la législation serait une étape bienvenue pour assurer la sécurité des chercheurs en sécurité et d’autres personnes. L’utilisation de choses comme la technologie de signature numérique est une façon intéressante de gérer cela car, espérons-le, ce serait beaucoup plus rapide que d’autres modes de vérification, dit-elle. Je pense que c’est absolument nécessaire, surtout si cela devient plus courant.
Pour le moment, cependant, les chercheurs se sentiront exposés et en danger sur Twitter, conclut-elle. C’est nouveau pour les chercheurs qui pouvaient auparavant rester anonymes, dit Ferrett. Ils semblent se sentir moins en sécurité ou ont l’impression qu’ils vont être identifiés maintenant.