Révélations sur le groupe Dark Partners
Les hackers du groupe Dark Partners ont été révélés comme responsables d’un réseau de faux portefeuilles de cryptomonnaie et d’applications de trading. Le chercheur g0njxa a mis en lumière que Dark Partners est engagé dans le vol à grande échelle d’actifs numériques. Ces hackers exploitent de nombreux sites diffusant des voleurs déguisés en services d’intelligence artificielle (IA), de VPN, et de logiciels de cryptomonnaie.
Malware et campagnes malveillantes
Une campagne de malware en cours a introduit le « PayDay Loader » aux utilisateurs de Windows et le « Poseidon Stealer » aux utilisateurs de macOS via de faux sites d’IA et de logiciels. Des analyses de malware et une chasse aux menaces sont actuellement menées, soutenues par des enquêtes portant sur cette campagne malveillante.
Le malware cible les dispositifs des victimes en recherchant des portefeuilles préalablement installés tels qu’Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi, Ledger Live et MetaMask. Les hackers collectent aussi des informations hôtes, des identifiants, des clés privées, et des cookies pour les revendre.
Identification des hackers et sanctions
g0njxa estime que Dark Partners utilise des certificats de signature de code obtenus illicitement pour développer des malwares destinés à Windows. La Kriminalpolizei fédérale allemande (BKA) a identifié le leader des groupes de hackers Trickbot et Conti, connu sous le nom de Stern, comme étant Vitaly Kovalev, un Russe de 36 ans. Ce dernier est recherché pour formation d’une organisation criminelle et serait actuellement en fuite dans la Fédération de Russie.
En février 2023, Kovalev a été parmi les sept personnes sanctionnées par les États-Unis pour ses liens avec Trickbot et Conti, étant alors considéré comme une figure de proue au sein de ces groupes.
Propagation des malwares
Selon la BKA, Trickbot serait composé de plus de 100 membres et serait responsable de l’infection de centaines de milliers de systèmes à l’échelle mondiale, causant des dommages se chiffrant à des centaines de millions de dollars.
Des experts de Cisco Talos ont également découvert des malwares se propageant sous forme d’installateurs semblant légitimes d’outils d’IA, incluant les ransomwares CyberLock et Lucky_Gh0$t, ainsi que le malware Numero.
Les opérateurs de CyberLock intimident leurs victimes en prétendant avoir accès à des documents commerciaux confidentiels, des fichiers personnels, et des bases de données. Ils exigent un paiement de 50 000 $ en Monero pour la clé de décryptage, promettant d’envoyer cette somme comme aide humanitaire à divers pays. Les hackers menacent de rendre publiques les données si aucun paiement n’est reçu dans les trois jours.
Interventions et fermetures de services
La police néerlandaise, en collaboration avec ses homologues américains, a réussi à bloquer le service AVCheck, utilisé par les cybercriminels pour tester leurs malwares contre des solutions antivirus commerciales. Les enquêteurs ont également établi un lien entre les administrateurs du site et les services cryptographiques Cryptor.biz et Crypt.guru. Le domaine du premier a été saisi, tandis que le second est hors ligne.
Ces services de cryptage aident les opérateurs de malware à dissimuler leurs données, les rendant essentiels à ce même écosystème. Des agents d’infiltration se faisant passer pour des clients ont contribué à la fermeture de ces services.
Progrès technologiques et avertissements sur la vie privée
Un nouveau site internet nommé YouTube-Tools a récemment été lancé, prétendant pouvoir retrouver tous les commentaires d’un utilisateur de YouTube et, grâce à l’IA, créer un profil indiquant potentiellement son lieu de résidence, ses compétences linguistiques, ses centres d’intérêt et ses opinions politiques, selon 404 Media. Ce service a été initialement conçu pour analyser des noms d’utilisateur de League of Legends.
Les experts mettent en garde contre le fait que cet outil pourrait sérieusement compromettre la vie privée des utilisateurs.
Initiatives gouvernementales en cybersécurité
Le secrétaire britannique à la Défense, John Healey, a dévoilé des plans gouvernementaux visant à créer un commandement cybernétique pour protéger le pays contre les attaques de hackers et offrir un soutien aux opérations militaires en cybernétique. Cette nouvelle structure modernisera les systèmes de guidage et de coordination des unités de l’armée utilisant des technologies d’IA.
Selon les estimations, le coût de cette initiative sera d’environ un milliard de livres (1,3 milliard de dollars). Le Cyber Command jouera également un rôle essentiel dans la guerre électronique, interceptant les communications ennemies et brouillant les drones.
Au cours des deux dernières années, les autorités britanniques ont fait face à environ 90 000 cyberattaques provenant d’agences de renseignement étrangères, principalement de Russie et de Chine.
