« Life in the SOC” est une série de blogs qui partage les expériences du SOC BlueVoyant se défendant contre les attaques actuelles et répandues rencontrées par nos clients. Les blogs discutent des mesures de détection, d’intervention et d’atténuation réussies qui peuvent améliorer vos capacités défensives.
Les recherches de BlueVoyant sur le dark web et les marchés souterrains ont révélé que la quête de gain financier dans le monde criminel est plus forte que jamais. En février, les sujets ont un peu changé et les principaux sujets de conversation dans ces domaines tournaient autour du CVV et du BIN. PayPal était toujours un sujet populaire en février; cependant, sa part des conversations a chuté. La crypto-monnaie a également un peu baissé ainsi que les conversations générales sur le cardage.
Le graphique ci-dessous montre la forte augmentation des conversations souterraines autour du vol de CVV et de POUBELLES, de la vente et de la collecte d’informations.
Au cours des derniers mois, la majeure partie de la collaboration et des ventes illégales de données volées ont eu lieu sur des forums d’accès spéciaux. En fait, le mois de janvier a vu une augmentation de près de 10 % de l’activité du forum d’accès spécial ciblant le secteur financier par rapport à décembre. Cette tendance s’est produite pendant plusieurs mois.
Cependant, en février, BlueVoyant a vu un changement avec les marchés du dark web prenant la première place pour les conversations de cybercriminels motivés financièrement.
Voici les forums criminels les plus actifs.
Les forums d’accès spécial au Dark web nécessitent généralement une sorte de poids dans l’industrie criminelle, ou un sponsor pour y accéder. Ces forums nécessitent généralement des autorisations spéciales pour interagir. Pour le troisième mois consécutif, le Forum CardVilla est le meilleur forum d’accès spécial pour les discussions financières. Card Villa se présente comme le meilleur forum de cardage darknet. Ils offrent des « décharges gratuites » et des « statistiques CVV gratuites.”Le site compte actuellement plus de 200 000 membres. Au moment d’écrire ces lignes, le site recevrait près de 1 000 visiteurs uniques chaque jour.
Les forums souterrains ne nécessitent pas nécessairement d’autorisation spéciale et sont généralement accessibles à tout le monde. Certaines sections du forum peuvent être indisponibles pour les utilisateurs en général; cependant, en général, n’importe qui peut publier, répondre, acheter et vendre sur ces forums.
Le meilleur forum underground pour le mois de février était « Carding Forum ». Le site héberge actuellement plus de 150 000 utilisateurs avec près de 4 000 visiteurs uniques par jour. Le site propose non seulement des produits tels que « dumps » et ”fullz », mais offre également une formation et une aide aux personnes intéressées à s’impliquer dans cette entreprise criminelle.
Des marchés sur le web sombre permettent aux cybercriminels de vendre des informations d’identification et des accès compromis. Ces sites vendent souvent divers détails de compte de paiement et informations de carte de crédit ainsi que toute autre donnée jugée précieuse. Certains sont automatisés tandis que d’autres sont fortement modérés.
Joker’s Stash a maintenu sa domination sur le marché en février et occupe à nouveau la première place des marchés du dark web pour le mois. Comme indiqué dans les rapports précédents, Joker’s Stash est un marché notoire, principalement anglophone, qui se concentrait initialement sur les activités de cardage. Le site a depuis renforcé ses opérations et son infrastructure pour soutenir son nombre croissant de membres et de produits disponibles. Le site offre désormais une variété d’informations personnellement identifiables (PII), y compris les numéros de sécurité sociale et d’autres données qui pourraient être utilisées dans une multitude de vecteurs d’attaque. Une enquête sur l’infrastructure de Joker’s Stash a révélé que l’équipe derrière le site opère actuellement sur plus de 500 domaines et plus de 50 serveurs.