Les acteurs de la menace ont lancé un nouveau marché appelé Industrial Spy qui vend des données volées à des entreprises piratées, ainsi que des données volées gratuites à ses membres.
Bien que les marchés de données volées ne soient pas nouveaux, au lieu d’extorquer les entreprises et de les effrayer avec des amendes GDPR, Industrial Spy se présente comme un marché où les entreprises peuvent acheter les données de leurs concurrents pour accéder aux secrets commerciaux, aux diagrammes de fabrication, aux rapports comptables et aux bases de données clients. .
Cependant, il ne serait pas surprenant que le marché soit utilisé pour inciter les victimes à acheter leurs données afin d’empêcher qu’elles ne soient vendues à d’autres acteurs de la menace.
Le marché de l’espionnage industriel propose différents niveaux d’offres de données, avec des packages de données volées « premium » coûtant des millions de dollars et des données de niveau inférieur pouvant être achetées sous forme de fichiers individuels pour aussi peu que 2 $.
Par exemple, Industrial Spy vend actuellement les données d’une entreprise indienne dans sa catégorie premium pour 1,4 million de dollars, payés en bitcoins.
La source: EZpublish-france.fr
Cependant, une grande partie de leurs données sont vendues sous forme de fichiers individuels, où les acteurs de la menace peuvent acheter les fichiers spécifiques qu’ils veulent pour 2 $ chacun.
La source: EZpublish-france.fr
Le marché propose également des packs de données volés gratuits, susceptibles d’inciter d’autres acteurs de la menace à utiliser le site.
Certaines des entreprises dont les données sont proposées dans la catégorie « Général » sont connues pour avoir subi des attaques de ransomwares dans le passé.
Par conséquent, les acteurs de la menace peuvent avoir téléchargé ces données à partir des sites de fuite des gangs de rançongiciels pour les revendre sur Industrial Spy.
Promu par des cracks et des logiciels publicitaires
EZpublish-france.fr a découvert le marché de l’espionnage industriel pour la première fois grâce à un chercheur en sécurité MalwareHunterÉquipequi a trouvé des exécutables de logiciels malveillants [1, 2] qui créent des fichiers README.txt pour promouvoir le site.
Une fois exécutés, ces fichiers malveillants créeront des fichiers texte dans chaque dossier de l’appareil, contenant une description du service et un lien vers le site Tor.
« Là, vous pouvez acheter ou télécharger gratuitement des données privées et compromettantes de vos concurrents. Nous publions des schémas, des dessins, des technologies, des secrets politiques et militaires, des rapports comptables et des bases de données clients », lit le fichier texte README.txt.
« Toutes ces choses ont été recueillies auprès des plus grandes entreprises mondiales, des conglomérats et des préoccupations de chaque activité. Nous recueillons des données en utilisant la vulnérabilité de leur infrastructure informatique. »
La source: EZpublish-france.fr
Après une enquête plus approfondie de EZpublish-france.fr, nous avons découvert que ces exécutables sont distribués par d’autres téléchargeurs de logiciels malveillants généralement déguisés en cracks et en logiciels publicitaires.
Par exemple, le rançongiciel STOP et les chevaux de Troie voleurs de mots de passe, généralement distribués par le biais de cracks, sont installés avec les exécutables d’Industrial Spy.
De plus, VirusTotal montre que les fichiers README.txt se trouvent dans de nombreuses collections de journaux de chevaux de Troie voleurs de mots de passe, indiquant que les deux programmes ont été exécutés sur le même appareil.
Cela indique que les opérateurs du site Web Industrial Spy s’associent probablement à des distributeurs de logiciels publicitaires et de crack pour distribuer le programme qui fait la promotion du marché.
Bien que le site ne soit pas largement utilisé à ce stade, les entreprises et les chercheurs en sécurité doivent garder un œil sur lui et sur les données qu’il prétend vendre.