Rassembler les renseignements sur les menaces, trouver les auteurs de cyberattaques et faire baisser les gangs de ransomwares entiers sont quelques-unes des façons dont le Web sombre est utilisé par les défenseurs.
Le terme «Web sombre» peut peindre un tableau dans notre chef d’acteurs de menace qui se cache sous terre, sur les parties enveloppées d’Internet où l’activité illicite et la cybercriminalité prospèrent. Cependant, ce qui est connu sous le nom de Dark Web a cependant des cas d’utilisation à multiples facettes. Il est également fréquenté par des entités telles que des chapeaux gris, des cyber-défenseurs, des services de surveillance des violations de données et des chercheurs.
Le fait que ce réseau caché de sites Web et d’utilisateurs offre un plus grand degré d’anonymat et n’est pas indexé par les moteurs de recherche traditionnels signifie que non seulement les acteurs de menace, mais aussi les dissidents politiques, signifiant cacher leur identité et où se trouvent, peut en bénéficier.
Voici quelques-unes des façons dont les pirates éthiques, les défenseurs et les protagonistes du monde réel utilisent le Web Dark.
Rassembler les renseignements sur les menaces
Tout chercheur en cybersécurité et analyste de l’intelligence open source (OSINT) serait conscient de la valeur demandée pour surveiller les flux Web sombres pour l’intelligence des menaces.
Les forums de pirates fréquents ou certains sites d’onion, accessibles uniquement via TOR, peuvent donner un aperçu des acteurs de menace et de leurs tactiques, techniques et procédures en évolution (TTP), ainsi que les groupes auxquels ils appartiennent. La dernière partie est particulièrement vitale car certains cybercriminels dans le métro peuvent appartenir à plusieurs ransomwares ou groupes d’extorsion de données. Par exemple, un groupe d’acteurs de menace peut présenter uniquement un courtier d’accès initial (IAB) et vendre l’accès aux réseaux ou actifs des entreprises violées à des groupes de ransomware individuels ou d’extorsion de données tout en étant directement associés à aucun ou aucun de ces acheteurs.
Un autre aspect clé du rassemblement des Intel est de la recherche d’attaques à venir, d’exploits de vulnérabilité, de zéro jours, de kits d’outils de phishing et de nouvelles souches de logiciels malveillants circulant de temps en temps. Par exemple, dans le passé, les créateurs du célèbre malware de voleur d’informations de voleur de raton laveur ont annoncé des sorties de variantes furtives sur les forums de pirates. Alors qu’à première vue, ces messages peuvent sembler ciblés et être précieux pour menacer les acteurs et les enfants de script (SKIDS), les sociétés antivirus peuvent rapidement intégrer des détections basées sur la signature dans leurs produits pour ces variantes plus récentes, protégeant ainsi les utilisateurs à domicile et aux entreprises.
Les analystes et chercheurs SOC peuvent également disséquer et étudier les souches plus récentes pour écrire des règles Yara et Sigma pour protéger les réseaux organisationnels contre les menaces nouvelles. Les chercheurs dans le monde universitaire et à l’industrie peuvent comprendre comment les flux de réseau peuvent être surveillés pour des exploits et des virus furtifs émergents qui sont plus difficiles à détecter par des moyens conventionnels. Garder un œil sur la scène de cybercriminalité souterraine en constante évolution peut aider les fournisseurs de sécurité à enrichir leurs technologies défensives et leurs offres de produits.
Attribuer les attaques aux acteurs menaçants
Lorsque les organisations souffrent de violations de données et de cyber-incidents, le Web Dark devient un outil crucial pour les défenseurs, y compris les entreprises touchées, leurs équipes juridiques et les négociateurs.
Les acteurs de menace tels que les groupes de ransomware attaquent souvent les organisations pour crypter et voler leurs données afin qu’ils puissent les extorquer pour de l’argent, en échange d’une clé de décryptage. Pour obtenir un effet de levier pendant les négociations ou si l’organisation refuse carrément de payer une rançon, les acteurs de la menace commencent souvent à fuir des données volées sur leurs sites de fuite de. D’autres acteurs de menace peuvent également installer les plus grands vidages de données multi-gigaoctets à vendre sur les forums de pirate à partir desquels les voleurs d’identité et les acteurs de phishing peuvent bénéficier.
Pour l’organisation touchée, le Web Dark devient un moyen vital pour surveiller l’étendue des dommages: quelles informations ont été exposées publiquement, sur les forums ou les groupes en ligne, qui (ou quel groupe d’acteurs de menace), si quelqu’un, a revendiqué la responsabilité de l’attaque, et des actifs volés sont diffusés (c’est-à-dire vendus à des fins de profit ou à des fins de divulgue gratuitement). Souvent, les sites d’onion et les groupes de télégrammes peuvent être les seuls liens entre les défenseurs d’une organisation touchée et les acteurs de menace, servant de canal de communication primaire, comme en témoignent les chats de négociation divulgués entre Royal Mail et le groupe de ransomware de lockbit au cours de la cyber-attaque 2023.
L’attribution devient particulièrement importante lorsqu’un motif évident, comme le gain monétaire ou la rançon, est manquant. Les groupes hacktivistes, par exemple, peuvent cibler un site Web ou des systèmes gouvernementaux avec des attaques de déni de service distribué à grande échelle (DDOS), les frapper hors ligne, ou certains logiciels de vigilance, les auteurs peuvent intentionnellement saboter leur travail pour causer des dommages aux systèmes situés dans certaines parties du monde – tous pour attirer l’attention sur leur message plus large plutôt que pour un gain financier.
Surveillance des fuites et violations de données
Les services de surveillance des violations de données comme Heebeenpwned (HIBP) suivent fréquemment les vidages de données divulgués surfacing sur le Web Dark Web et dans les forums de pirate. Les utilisateurs peuvent vérifier si leurs informations ont été compromises dans une violation de données simplement en entrant leur adresse e-mail sur HIBP, sans frais.
Les moteurs de recherche tels que Intelligence X se spécialisent dans les chercheurs et les défenseurs de rechercher des informations cruciales, telles qu’une adresse de portefeuille de crypto-monnaie, des IPS, des domaines ou des adresses e-mail, trouvées dans les fuites de données publiques et le DarkNet.
Dans un contexte de consommation, la surveillance du Web Dark a récemment acquis une importance sous la forme de plans de surveillance du vol de fraude et d’identité offerts par les principaux bureaux de rapport de crédit comme TransUnion, Equifax et Experian.
Les utilisateurs créent initialement un profil avec un bureau de crédit après avoir vérifié leur identité en répondant aux questions en ligne, les solutions qui sont déjà connues du Bureau, compte tenu des données de prêt historiques qu’ils détiennent sur les consommateurs. Après une inscription réussie dans un abonnement payant, les utilisateurs peuvent choisir d’enregistrer leurs informations sensibles, telles que les numéros de carte de crédit, les informations sur le permis de conduire, les données de document de passeport et de voyage, et les numéros d’identification des contribuables comme le numéro d’assurance nationale (NINO), le numéro de sécurité sociale (SSN) et le numéro d’assurance sociale (SINS) sur le site Web du Bureau. Ces informations, stockées en toute sécurité, sont périodiquement vérifiées par rapport aux données divulguées émergeant sur le Web Dark, telles que les bases de données de l’entreprise violées surfaçant dans la nature.
L’idée est que chaque fois qu’il y a un coup pour un morceau des données enregistrées contre un vidage de données illicites flottant sur le Web Dark, la victime inscrite serait informée et peut prendre conscience du vol d’identité potentiel auquel ils peuvent être soumis.
Contourner la censure et la dénonciation
Le Web sombre et les technologies comme Tor, Telegram ou VPN peuvent également être invoqués par des dénonciateurs dans les juridictions où l’utilisation d’Internet est limitée ou fortement examinée.
Les dissidents politiques et les défenseurs des libertés civiles qui souhaitent élever leur voix sans compromettre leur identité ou leur emplacement peuvent choisir d’utiliser le sombre Web pour diffuser leur message ou divulguer des preuves d’actes répréhensibles des entreprises ou du gouvernement, par exemple. Bien que ces actions puissent être de légalité et d’éthique douteuses, elles démontrent les nuances complexes de ces technologies et le «Web sombre» plus large, qui n’est pas intrinsèquement «mauvais».
Des technologies comme les VPN peuvent permettre aux utilisateurs d’accéder à des applications et des sites Web restreints, tels que les réseaux sociaux LGBTQ +, dans les pays où ils sont censurés. Les sites Web d’information, comme, ont souvent une version .onion avec un contenu identique. Si le site Web principal du point de vente était interdit par un régime autoritaire, les citoyens peuvent toujours compter sur Tor pour accéder à la sortie avec un plus grand degré d’anonymat.
Appliquer la loi
Si les criminels peuvent se cacher sur le Web sombre, il en va de même pour et faire la police.
Les organismes gouvernementaux d’application de la loi comme le FBI, Interpol et la police fédérale australienne sont souvent reconnus pour avoir supprimé les opérations de cybercriminalité généralisées. Récemment, ceux-ci ont impliqué le FBI et plusieurs autres agences d’application de la loi de différents pays réprimandant une opération de contre-antivirus, «Avcheck» et écrasant le Lumma Stealware-As-A-Service (MAAS) qui a volé des millions de mots de passe.
Au-delà de la saisie des domaines illicites et des opérations de ransomwares nucléaires, les agences fédérales ont utilisé le Web Dark pour cibler les trafiquants de drogue et les criminels derrière le CSAM. Un exemple récent serait l’opération Raptor, dans laquelle les organismes d’application de la loi des États-Unis, de l’Europe, de l’Amérique du Sud et de l’Asie ont collaboré pour arrêter 270 vendeurs Web, acheteurs et administrateurs sombres associés au commerce illégal de fentanyl et d’opioïde.
Recherche et journalisme
Les cas d’utilisation moins évidents mais primordiaux du Web Dark incluent la valeur qu’il fournit aux journalistes d’investigation.
Pour les journalistes, le Dark Web fournit une avenue intéressante pour une corroboration approfondie entre les parties et l’observation des développements «dans les coulisses», en particulier pendant les cyberattaques de haut niveau. Les canaux de communication anonymisés et les sites de fuite peuvent servir de conduit entre les journalistes et les acteurs de la menace qui prétendent être à l’origine des violations de données. Bien qu’il soit naïf de prendre la parole d’un acteur de menace à sa valeur nominale, les informations sur une attaque ou des preuves potentielles partagées par un acteur de menace peuvent aider un journaliste à vétérinaire à quel point les réclamations faites par l’acteur de menace et l’organisation affectée sont. Cet exercice peut être particulièrement crucial pour les rapports indépendants dans les cas impliquant des actes répréhensibles des entreprises, comme lorsqu’une organisation peut volontairement essayer de couvrir ou de minimiser une violation de sécurité des actionnaires et des clients, malgré de nombreuses preuves indiquant le contraire, sur un équilibre des probabilités. D’autres fois, une entreprise ne peut pas divulguer un cyber-incident. Pourtant, le bavardage sur les sites de fuite de Web et de ransomwares sombres pourrait permettre aux chercheurs, au public et aux journalistes de poser des questions importantes.
