Une récente publication de Specops pointe le danger à utiliser des codes d’identification compromis sur un service d’annuaire tels qu’Active Directory, Entra iD ou Okta Redline. Plus précisément, la réutilisation d’un même code à usage professionnel sur plusieurs services, dont Active Directory, est un comportement à risques. Une étude de Bitwarden indique que 68 % des internautes gèrent des mots de passe pour plus de dix sites et 84 % réutilisent leurs mots de passe.
Malgré une conscience élevée des risques pour 91 % des utilisateurs sur la réutilisation des mots de passe, 61 % d’entre eux continuent cette pratique à prohiber. Specops affirme que seulement la moitié des entreprises recherchent les mots de passe potentiellement compromis plus d'une fois par mois.
Un des intérêts de la méthode de KrakenLabs est la possibilité de capturer les informations d’identification au moment où elles sont communiquées au serveur de commande et de contrôle. Ce dernier est utilisé pour distribuer ultérieurement les informations d’identification entre les différents clouds.
Redline à l’origine de la plupart des vols de mots de passe
En tête des logiciels de vol de données d’identification (infostealers) identifiés par Specops, on trouve sans surprises le malware Redline qui est à l’origine de 170 millions de mots de passe volés lors des six derniers mois. Cet infostealer a été utilisé pour dérober près de la moitié (47 %) de tous les sésames analysés. Soit beaucoup plus que les autres outils de vol de données d’identification les plus populaires, à savoir Vidar (17 %), Raccoon Stealer (11,7 %) et Meta (10,6 %).L’analyse concrète du mode opératoire de RedLine est instructive. D’abord, le pirate compromet un compte Google/YouTube. Ensuite, l’auteur de la menace crée différentes chaînes ou publie directement des vidéos. C’est à ce stade qu’il inclut un lien malveillant dans la liste d’outils illégaux de crackage de logiciels et de jeux. Un clic sur ce lien lance le téléchargement involontaire de RedLine. A la clé, le vol de mots de passe et autres informations privées.
Le mode d’action de Vidar repose sur une classique campagne de phishing et se présente sous la forme de fichiers d’aide Microsoft Compiled HTML Help (CHM). Ce logiciel malveillant est aussi distribué par le chargeur de logiciels malveillants GHOSTPULSE.
Raccoon Stealer, disponible en mode location mensuelle comme tout autre logiciel légitime, est présent sur les Hacks Forum. Son mode opératoire est moins bien documenté que les deux infostealers précédents.
Ce monde interlope se retrouve sur le Dark web, uniquement accessible par le navigateur TOR qui dispose d’un VPN.
Specops préconise une analyse quotidienne des mots de passe dans votre réseau via l’API Breached Password Protection. Si l’application de sécurité trouve des mots de passe compromis, elle bloque ces codes de sécurité dans l’Active Directory avec des messages personnalisables à l’intention des utilisateurs finaux.